Настройка двух провайдеров на микротике

Обновлено: 05.07.2024

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Exchange Network Engineering.

Закрыт 4 года назад.

У меня есть маршрутизатор One Mikrotik под управлением ОС маршрутизатора версии 6.1. У меня есть один провайдер, подключенный к нему, но недавно я получил другого провайдера в качестве резервного. Я хочу подключить второго интернет-провайдера к маршрутизатору таким образом, чтобы в случае отказа первого интернет-провайдера немедленно включился второй. Ссылка от обоих интернет-провайдеров - это ethernet-ссылки> Кто-нибудь знает, как это сделать?.

@Avery, нет, у меня просто есть сервер приложений, к которому подключаются филиалы. Да, у меня есть адрес класса C /29 от обоих интернет-провайдеров. Я уже решил эту проблему. Это было не так сложно понять, когда я вошел в маршрутизатор Mikrotik. Я только что настроил 2 статических маршрута с разным административным расстоянием. Основной интернет-провайдер с более низким административным расстоянием и проверкой связи, поэтому, как только он выходит из строя, включается второй интернет-провайдер. Спасибо за беспокойство.

2 ответа 2

Это было не так сложно понять, когда я вошел в роутер Mikrotik. Я только что настроил 2 статических маршрута, указывающих на интернет-провайдеров с разным административным расстоянием. Основной интернет-провайдер с меньшим административным расстоянием и проверкой пинга на него, так что, как только он выходит из строя, включается второй интернет-провайдер. Для этого я зашел в маршрутизатор Mikrotik с помощью winbox и перешел на вкладку IP. Я выбрал маршруты из выпадающего меню. Остальное было само собой разумеющимся. После настройки я вытащил кабель от ISP1, и компьютеры в локальной сети все еще могли выходить в Интернет. Я запустил tracert 4.2.2.2, который вернул резервный маршрутизатор интернет-провайдера. Я подключил кабель от ISP1 обратно к маршрутизатору и сразу же запустил трассировщик 4.2.2.2, который вернул маршрутизатор ISP1. Спасибо всем за помощь.

Это работает, но если первичный интернет-провайдер потерял интернет, он может сохранить ссылку и активный шлюз, поэтому выход через вторичного интернет-провайдера не активируется. Для более разумного переключения маршрутов лучше использовать скрипт и планировщик или netwatch.

@mmv-ru, бывает так, как вы сказали - иногда, если шлюз по умолчанию все еще доступен, но интернет не работает на стороне провайдера, маршрутизатор не переключается на второй шлюз. Я действительно мало знаю о сценариях, планировщике и сетевых часах.

Пн, 07 августа 2017 г., 23:53

Привет всем,
Я пытаюсь понять, как организовать интернет-соединение за городом, где нет безлимитного стабильного провайдера.
Итак, у нас мало провайдеров с некачественным и платным трафиком за каждый гигабайт.
Теоретически я бы использовал Mikrotik RB450, потому что он у меня уже есть, хотя по вашему совету я бы купил другую модель.

Мой вопрос: как одновременно использовать двух интернет-провайдеров? Я знаю, что могу переключаться между (1) и (2), если я не могу пропинговать Google через (1), а затем переключиться обратно, если он снова в сети. Вот как я использую его в своем городском доме, где доступен неограниченный провайдер. За городом такого нет. Так вообще можно работать с несколькими провайдерами одновременно и где об этом подробнее? Как правильно называется этот способ работы?
Спасибо.

Вт, 08 августа 2017 г., 2:08

Вт, 08 августа 2017 г., 11:03

Вт, 08 августа 2017 г., 12:48

PCC – это распространенный (в некотором роде автоматический) метод балансировки нагрузки между различными wan-каналами, которые могут быть у вас. Он предоставляет различные методы для балансировки нагрузки, например, на основе исходного/целевого IP-адреса, портов и т. д. Переключение при сбое — это немного сложная часть, зависящая от сетевого сценария.

Пример:
Если у вас есть DSL-каналы, настройте свой DSL-модем в режиме моста и наберите провайдера через микротик, затем вы можете выполнить ПРОВЕРКУ шлюза в разделе «Маршрут», чтобы, если канал с провайдером не был установлен этот маршрут не будет использоваться, и запросы на эту ссылку (пункты, отмеченные разделом mangle) будут направляться по основному маршруту или следующему маршруту с более высоким значением расстояния.

Если перед вами стоят маршрутизаторы/шлюзы, лучше использовать маршрут SCRIPT . его немного сложно настроить в начале, но он более предпочтителен, потому что он более эластичный, легко настраиваемый для получения требуемого результата. например, вы можете отправлять оповещения по электронной почте, выполнять несколько действий в соответствии с требованиями, выполнять несколько проверок и т. д. и т. д.

Поищите в Google, так как в Интернете полно интересных методов, опубликованных разными людьми.

_____________
С уважением

Пт, 11 августа 2017 г., 21:59

При использовании PCC, если клиент за вашим маршрутизатором открывает несколько соединений с одним и тем же хостом, все соединения будут выходить из одной и той же глобальной сети. Где в качестве N-й балансировки нагрузки несколько подключений могут быть между обеими локальными сетями.

При использовании веб-сайта файл cookie браузера используется для запоминания сеанса, поэтому вы можете использовать несколько глобальных сетей на этом веб-сайте. Однако из соображений безопасности некоторые веб-сайты не позволяют одному и тому же сеансу проходить по нескольким IP-адресам. Таким образом, пользователю постоянно предлагается войти в систему при просмотре этого сайта.

VOIP и H323 также используют несколько подключений.Опять же, из соображений безопасности некоторые системы voip не позволяют аудиоканалам поступать с двух разных IP-адресов. Или АТС сообщит удаленной системе, что аудиоканалы исходят из WAN1-IP, но на самом деле они выходят из WAN2-IP.

По этим причинам я бы рекомендовал PCC вместо n-й балансировки нагрузки.

Вс, 01 апреля 2018 г., 7:00

Вс, 01 апр. 2018 г., 13:34

Привет, zippel,
Как автор темы, могу сказать, что в моем случае нормально работает переключение между двумя интернет-провайдерами. Я также хотел бы знать, как настроить балансировку нагрузки (полезно для меня, только если оба провайдера предоставляют неограниченный доступ, но один из моих провайдеров пока мобильный с платным трафиком).
Я бы посоветовал вам экспортировать все настройки с вашего микротика в текстовый файл и выложить сюда, чтобы все могли посмотреть и что-то подсказать.
Удачи!

Сообщений: 2081 Присоединился: вс, 9 октября 2016 г., 20:25. Местоположение: Южная Африка, Крюгерсдорп (родной город Брэда Биндера). Контактное лицо:

Сб, 07 декабря 2019 г., 1:25

Раньше я делал ряд передовых вещей с маршрутизаторами MikroTik, но у меня никогда не было опыта в этой области. Я действительно ищу концептуальную основу для начала и, возможно, какие-то документы со знаниями или примеры других людей, делающих что-то подобное, которым я могу следовать.

Мы не ищем концепцию балансировки нагрузки. Требуется перенаправить трафик определенного интернет-провайдера в определенные места.

Сценарий:
У нас есть два интернет-провайдера. Провайдер LTE и провайдер DSL.

Потребности:
Хотите, чтобы провайдер [LTE] был назначен на ETH1
Хотите, чтобы провайдер [DSL] был назначен на ETH2
Хотите, чтобы весь трафик на ETH3 проходил через соединение LTE к глобальная сеть
Хотите, чтобы весь трафик на ETH4 проходил через соединение DSL с глобальной сетью
ETH5 будет использоваться для поддержки туннеля EoIP для других нужд

Дополнительно:
Долгосрочная цель — найти способ измерения использования полосы пропускания и переключения ETH3 на DSL и обратно на LTE в зависимости от использования данных. Но на данный момент описанная выше настройка будет работать, чтобы все двигалось вперед.

Мы будем признательны за любые общие мысли об этом процессе.

Сб, 07 декабря 2019 г., 12:40

Просто используйте mangle routing-mark, чтобы пометить трафик, поступающий с портов 3 и 4, двумя разными метками, и они назначат их правилу маршрутизации по умолчанию!

Вт, 10 декабря 2019 г., 00:50

Через 2 минуты я получу вашу настройку в GNS3 . простое и статичное решение с правилом маршрутизации и интерфейсом в качестве источника трафика.

Сб, 21 декабря 2019 г., 3:14

Наконец-то у меня дома появилась тестовая лаборатория, где я мог работать с этой конфигурацией. Я пытался следовать общей информации, предоставленной в меру своих возможностей. Кажется, я могу правильно настроить диапазоны DHCP, независимо от того, нахожусь ли я в сети LTE или DSL. Но у меня до сих пор нет подключения к интернету. Любая помощь, которую вы можете предоставить, будет оценена по достоинству!

Сб, 21 декабря 2019 г., 11:36

Это очень хороший способ настроить "MultiWAN", но очень полезно узнать о трафике на мультиинтерфейсе. Для меня это следующий шаг для вас сделать.
Даже если у вашего LTE нет PublicIP и вы не получаете трафик от LTE, все равно способ настройки охватывает многие аспекты.
Способ отправки трафика в Интернет может быть выполнен с помощью Route>Rules; Брандмауэр > Правило Mangle через скрипт. ; ПКК; смена рук; Расстояние маршрута. даже это просто способ направить трафик в сеть, а верхний материал дает больше.
.

Я скучаю по этой части. Я импортирую вашу настройку и отредактирую этот пост. Пожалуйста, подождите. Я все еще ваш проект, и я должен добавить виртуальную машину в качестве клиента обеих ваших локальных сетей.
Посмотрите это:

/ip dhcp-client
добавить dhcp-options=clientid,hostname disabled=no interface=ether1-lte use-peer-dns=no
add dhcp-options=clientid,hostname disabled=no interface=ether2-dsl use-peer-dns=no

Означает, что у обоих есть расстояния по умолчанию = 1, и никто не является активным, вы должны добавить к одному из них следующее:
default-route-distance = 2
означает:

<р>.
Вы настраиваете DHCP-сервер вручную, а не из WinBox? Я не вижу запись сети dhcp.
DHCP-Server Wizzard также работает из CLI: /ip dhcp-server setup

<р>.
Далее, у вас есть компьютер за маршрутизатором, вам нужен NAT, то есть SNAT, чтобы скрыть ваш компьютер в Интернете и предоставить им доступ к Интернету.

<р>.
После этого исправления вашей настройки мои GNS3 VPCS имеют доступ к Интернету, один по LTE, а второй по DSL - проверено tracert.
.

Надеюсь, я помог вам с настройкой.
Удачи.

Пн, 30 декабря 2019 г., 19:14

Спасибо, описанные выше шаги сработали отлично и решили исходную проблему. У меня есть одно осложнение, с которым вы можете помочь.

Мне удалось разделить Интернет между DSL и LTE, без проблем. Я даже могу поменять местами адаптеры DSL и LTE в таблице маршрутизации и указать, какая сторона дома получает тот или иной. Но есть сценарии, когда, например, если DSL полностью отключится, я захочу перевести весь дом обратно на LTE.

Я подумал, что это будет легко сделать и просто установить обе таблицы маршрутизации DSL и LTE для адаптера LTE. Это сразу привело к сбою интернета. Я мог поменять их местами, чтобы они были с обеих сторон, но я не мог полностью перевернуть дом в одно соединение.

Мне удалось это сделать, но мне пришлось отключить правила таблицы маршрутов, согласно которым сервер DHCP для Интернета не используется. Тогда весь дом подхватил услугу LTE вместо DSL. Но это был процесс из 5-8 шагов. И это то, что я хотел бы потенциально написать в будущем.

Можете ли вы придумать более быстрый способ перенести Интернет с разделенной системы на одну, не выполняя все вышеперечисленные действия? Еще раз благодарим вас за помощь!

Чт, 02 января 2020 г., 1:54

Хорошим способом является использование скрипта с несколькими способами проверки, который выполняет действие после нескольких тестов.

Надеюсь, я добавлю вам некоторую информацию.
В вашем сообщении есть некоторая информация и вопрос, и я не знаю, что такое большой вопрос.
BR Марчин

Вс, 26 января 2020 г., 00:05

Вы были потрясающими, еще раз спасибо за всю вашу помощь. Мне нужны ваши услуги для одного дополнительного усилия, а потом я думаю, что со всем этим покончено.

Прямо сейчас. это моя текущая таблица маршрутизации для дома .

Настройка нескольких провайдеров работает отлично. Проблема, с которой я сейчас сталкиваюсь, заключается в том, что у меня есть подключение L2TP/IPSEC к центральному концентратору. Эти адреса указаны в списке маршрутов выше как 10.0.0.1 и 10.0.2.1 и являются разными физическими местоположениями домов. Я могу пропинговать их через терминал на роутере и получить ответ. Однако, когда я пингую их с одного из компьютерных устройств между несколькими интернет-провайдерами, я не получаю ответа.

Я почти уверен, что это связано с тем, что ВСЕ ДАННЫЕ из ETH3/ETH4 теперь направляются в конкретную RouteTable и игнорируют другие местоположения. Как мне учесть эти маршруты, чтобы несколько провайдеров по-прежнему работали так же хорошо, как адреса, которые я упомянул выше?

Пн, 27 января 2020 г., 00:06

Верно. РБ может их пинговать, но зачем?
1) Поскольку RB использует основную таблицу маршрутов и цепочку фильтров брандмауэра=выход.
2) Адрес src.address принадлежит самому MikroTik. Какой IP?

<р>.
В Ping вы можете указать некоторые дополнительные параметры, такие как:
ping 1.1.1.1 src-address=(IP-адрес, который вы видите в столбце pref.Source)
ping 1.1.1.1 routing-table =(RouteTable--DSL или RouteTable--LTE)
или с src-адресом и таблицей маршрутизации вместе. Поиграйте с ними и достигните следующего уровня понимания этого.
.

Однако, когда я пингую их с одного из компьютерных устройств между несколькими интернет-провайдерами, я не получаю ответа.
Я почти уверен, что это связано с тем, что ВСЕ ДАННЫЕ из ETH3/ETH4 теперь направляются в конкретную таблицу RouteTable и игнорируют другие местоположения. Как мне учесть эти маршруты, чтобы несколько провайдеров по-прежнему работали так же хорошо, как адреса, которые я упомянул выше?

Это можно сделать несколькими способами, и для вас лучше использовать простой обходной путь.
Пример.
1) Добавьте маршрут к 10.0.0.0/24 и 10.0.2.0/24 в дополнительную RouteTable -- [LTE или/и DSL] = RT.
Таким образом, каждый RT может получить доступ к трафику путем дублирования статического маршрута в другие RT, что является обходным путем, а при работе со многими VPN это ужасная идея, но для вас это лучший :D.
В WinBox есть замечательная кнопка с названием "Копировать", поэтому вы просто выбираете RT, нажимаете OK и повторяете это несколько раз.
2) Сделать исключение в текущем IP > Маршрут > Правила для трафика с ether3/4 на "10.0.0.0/24 и/или 10.0.2.0/24" не вводить эти дополнительные RT а застрять/быть/остаться в РТ=ГЛАВНЫЙ. И исключение должно быть выше, чем ваше правило MultiWan. Необходимо несколько правил. В продакшне это редкая конфигурация, потому что Firewall Mangle лучше в больших сетях, но для вас это идеально :)

Пн, 27 января 2020 г., 19:45

Спасибо! Это полностью решило мою проблему, и теперь все работает так, как должно быть. Мы очень ценим вашу помощь.

Окончательный результат:

Вт, 28 января 2020 г., 00:12

Спасибо! Это полностью решило мою проблему, и теперь все работает так, как должно быть. Мы очень ценим вашу помощь.

Пока вы не захотите использовать общедоступный IP-адрес в LTE и выполнить двойной DNAT через обоих интернет-провайдеров.
Пока вы не хотите отправлять сеансы через обоих провайдеров вместе, этот способ конфигурации 3S = простой + статический + стабильный.

Помните, что следующий уровень MultiWAN находится в

Чт, 30 января 2020 г., 17:20

У меня есть еще одно любопытство, с которым мне трудно разобраться. Это продолжается!

Весь трафик с сайта со всеми таблицами маршрутов выше работает отлично. Я могу связаться с кем угодно и где угодно без проблем.

Однако с концентратора, на котором размещен сервер L2TP, я не могу пропинговать какие-либо устройства в пределах 10.0.3.0/24 от маршрутизатора. Хотя я могу пинговать устройства по этому адресу из некоторых своих подсетей. Например, если я на 10.0.0.0/24 на одном из моих физических компьютеров я могу без проблем получить ответ на пинг с 10.0.3.185. Но маршрутизатор постоянно возвращает тайм-аут.

Это моя таблица маршрутизации на HUB, которая всегда работала в прошлом и работает на всех моих других сайтах.

Но мне интересно, связана ли проблема со сложной таблицей маршрутизации или с чем-то, что мне нужно сделать на концентраторе?
Мне нужно, чтобы маршрутизатор-концентратор мог проверять связь с устройствами в диапазоне подсети 10.0.3.0/24.

Пт, 31 января 2020 г., 15:17

В Ping вы можете указать некоторые дополнительные параметры, такие как:
ping 1.1.1.1 src-address=(один из IP-адресов, который вы видите в столбце pref.Source)
ping 1.1.1.1 routing-table= (RouteTable--DSL или RouteTable--LTE)
или с src-адресом и таблицей маршрутизации вместе. Поиграйте с ними и достигните следующего уровня понимания этого.

Означает, что из MikroTik CLI вы должны указать ИСТОЧНИК, который будет похож на ваш компьютер в локальной сети, который использует Route> Rules.
Компьютеры в локальной сети используют R>Rules, которые дают им отдельно RouteTable--A/B, и во внутреннем PING от MikroTik вы также должны предоставить его, чтобы имитировать трафик вашего ПК.

ping 10.0.3.1 src-address=10.0.0.1 routing-table="RouteTable--DSL"
Это ответ или нет, потому что вы пишете один большой вопрос :D

Вт, 04 февраля 2020 г., 22:58

Отлично! Исходный IP решил проблему, спасибо.

Вопросы бесконечны.

Когда происходит подключение L2TP/IPSEC, я заметил на своем основном концентраторе, что многосайтовый маршрутизатор подключается ко мне через DSL.

Как заставить VPN-подключение использовать LTE в качестве поставщика услуг Интернета, а не DSL?

5 февраля 2020 г., 11:35

  • 1.1.1.1 — это IP-адрес вашего основного маршрутизатора, который является вашим vpn-шлюзом/сервером/хостом/hq/dc/vps
  • 192.168.8.1 или lte1 — это шлюз LTE-устройств
  • 192.168.8.100 — это ваш IP-адрес, который вы получаете и видите в /ip-адресе в интерфейсе lte

Надеюсь, эти методы вам пригодятся. Поиграйте с первым, классическим маршрутом

Чт, 06 февраля 2020 г., 23:35

Вы решаете все мои проблемы! Я пошел с правилом маршрута, и это сработало отлично. Каждый раз, когда я думаю, что все закончилось, я сталкиваюсь с другим.

Надеюсь, это будет последний.

Я подтвердил через Wireshark, что пакеты доходят до сервера. Если я нахожусь внутри своей сети, скажем, на 10.0.0.53, а не на внешней, это загружается без проблем. Но весь внешний трафик приводит к тайм-ауту 404.

Однако я отследил свою попытку внешнего подключения, и на самом деле она достигает 10.0.3.40, поскольку я получаю массу TCP-передач, за которыми следует сброс соединения. Похоже, что происходит то, что отправляемый обратно трафик не отправляется обратно по линии, которая запрашивала страницу в первую очередь, а пытается набрать этот внешний адрес 1.1.1.1 напрямую. Я предполагаю, что это связано с тем, что правила маршрутизации говорят, что все, что находится на порту Ethernet LTE, проходит через соединение LTE ISP.

Как мне направить обратный трафик обратно через VPN, а не звонить обратно в Интернет? Если предположить, что мое предположение верно.

Спасибо! Надеюсь, это имеет смысл.

Пт, 07 февраля 2020 г., 00:35

Вы решаете все мои проблемы! Я пошел с правилом маршрута, и это сработало отлично. Каждый раз, когда я думаю, что все закончилось, я сталкиваюсь с другим.

Я звоню с внешнего IP-адреса, он будет называться 1.1.1.1. Он поражает мой основной маршрутизатор 2.2.2.2, который является сервером L2TP/IPSEC, а затем NAT, которые пересылают трафик через порт 8083 на адрес этого вторичного концентратора, в данном случае 10.0.3.40.

Правда, я всегда игнорирую это предложение :)
Вы пишете о 1.1.1.1 и следующем 2.2.2.2, но в сети мы говорим From/To или Src/Dst и через этот Host/Port. .
.

Я подтвердил через Wireshark, что пакеты доходят до сервера. Если я нахожусь внутри своей сети, скажем, на 10.0.0.53, а не на внешней, это загружается без проблем. Но весь внешний трафик приводит к тайм-ауту 404.

Если мы говорим, что локальный ПК не может открыть веб-страницу с веб-сервера, находящегося в той же локальной сети, то вам следует настроить правило HairPinNat.
Если мы говорим, что трафик из Интернета на ваш VPN-сервер достигает вашего локального хоста, то, конечно, его ответ будет отправлен таблицей маршрутов @main напрямую в Интернет, а не через VPN. Это должно быть исправлено с помощью следующих правил.
.

Однако я отследил попытку внешнего подключения, и на самом деле она достигает 10.0.3.40, поскольку я получаю массу TCP-передач, за которыми следует сброс соединения. Похоже, что происходит то, что отправляемый обратно трафик не отправляется обратно по линии, которая запрашивала страницу в первую очередь, а пытается набрать этот внешний адрес 1.1.1.1 напрямую. Я предполагаю, что это связано с тем, что правила маршрутизации говорят, что все, что находится на порту Ethernet LTE, проходит через соединение LTE ISP.

Как мне направить обратный трафик обратно через VPN, а не звонить обратно в Интернет? Если предположить, что мое предположение верно.

Бинго. Только это реальный вопрос.

Вы должны просто установить правильный цвет для пакета, входящего через vpn, и установить правило, согласно которому пакет определенного цвета должен возвращаться по тому же пути.
Раскрашивание означает маркировку - это добавление метки, как при рисовании.

<р>1. шаг) Закрасьте и раскрасьте = отметьте некоторый трафик, весь сеанс входящий через vpn. Сессии мы говорим Connection, который комбинируется из пакетов.
Вы знаете. женщина говорит в связях и мужчинах в пакетах :D а может и наоборот - трудно сказать :D. Мы должны выбрать только упаковку о пиве - это наша цель.

<р>.
2. Шаг) Когда маршрутизатор получает ответ=возвратное соединение/пакет от локального хоста, на котором есть наша метка=метка=цвет, ТОГДА мы отправляем этот трафик на правильную RouteTable--VPN :) Да, следующий :)

Пн, 07 декабря 2020 г., 23:59

Привет всем,
Я видел некоторые обсуждения по поиску работы с двумя интернет-провайдерами и балансировкой нагрузки, и я надеюсь на некоторые предложения по лучшей настройке для моего конкретного приложения. У меня Mikrotik 2011UiAS с прошивкой v6.47.8.

У меня есть два интернет-провайдера, оба плохие, но для меня это лучший вариант там, где я живу.
Viasat — пропускная способность 5–30 Мбит/с, задержка 630 мс, плохая надежность
LTE — пропускная способность 3–8 Мбит/с, задержка 40 мс, более высокая надежность?
Viasat подойдет в качестве моего единственного интернет-провайдера (даже с ужасной задержкой и простоями, связанными с погодой), за исключением случаев, когда я превышаю 75 ГБ в данном месяце, они ограничивают меня на 0,25 Мбит / с! Кажется, что LTE имеет постоянную пропускную способность около 5-8 Мбит/с и задержку 40 мс, но пропускная способность никогда не превышает этого значения. У меня нет ограничений на LTE и дросселирования.

Я хочу объединить их, чтобы получить лучшее из обоих миров, но смягчить худшее из обоих миров. Моя первоначальная мысль заключалась в том, чтобы LTE каким-то образом был доступен для первых ~ 3 Мбит / с, а Viasat срабатывает после этого. Это позволило бы для действий с низкой пропускной способностью (например, просмотра) использовать соединение с малой задержкой и сохранить часть моего использования Viasat для рутинных задач. Viasat включался только тогда, когда требовалась высокая пропускная способность, что, я думаю, позволяло бы мне ежемесячно потреблять менее 75 ГБ.

1) Кажется ли это разумной стратегией или есть какая-то «умная» стратегия, о которой я не знаю на устройствах Mikrotik?
2) Это вообще возможно? Если я транслирую контент, скажем, из Netflix, знает ли он о переключении на Viasat, когда HD-контент превышает 3 Мбит/с?
3) Любые подсказки о том, как лучше всего реализовать это на Routerboard?

Вт, 08 декабря 2020 г., 10:16

Уже установленный сеанс TCP не может переключиться на другой восходящий канал, если между клиентом и сервером есть NAT, поскольку отношение пакета TCP к данному сеансу определяется на основе кортежа адресов на стороне клиента и на стороне сервера. и порты. От приложения зависит, сможет ли оно автоматически установить новый сеанс TCP в случае разрыва ранее использовавшегося сеанса.

Таким образом, вы можете отслеживать скорость всех соединений, инициированных вашими устройствами на стороне локальной сети, и, если соединение превышает некоторую скорость передачи данных или объем данных, поместить его удаленный адрес в список адресов, соответствующий правило mangle, форсирующее трафик через LTE. Это нарушит существующее соединение, и от приложения будет зависеть, потребуется ли вмешательство пользователя для установления нового соединения. Существует также проблема с обнаружением сбоя сеанса: если вы просто перестанете направлять пакеты на «правильный» аплинк, пройдет несколько секунд, прежде чем клиент откажется от сеанса; если вы отправляете пакет RST клиенту для немедленного завершения сеанса, приложение может отреагировать иначе, чем по истечении таймера повторной передачи.

Еще один вариант — установить маршрутизатор где-нибудь по общедоступному адресу с лучшим подключением и создать к нему VPN-туннели через оба восходящих канала. В таком случае NAT будет происходить на этом другом маршрутизаторе, поэтому между вашим домашним маршрутизатором и этим другим вы можете свободно перемещать трафик между восходящими каналами без прерывания существующих сеансов. Но если не принимать во внимание расходы на эксплуатацию этого другого маршрутизатора, накладные расходы на туннели тратят впустую часть 75 ГБ.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Вс, 12 апреля 2020 г., 8:22

Здравствуйте, я пытаюсь установить два подключения к провайдеру на одном MT RB4011.

У меня есть ISP1, работающий с ether1, подключенным к модему ISP1
У меня есть ISP2, подключенный к ether2, который затем подключен к модему ISP2

У меня 3 статики работают на ISP1 через ether1
У меня 3 статики на ISP2 пытаюсь запустить через ether2

Я назначил статический IP-адрес от ISP2 на ether2 и добавил маршрут для 0.0.0.0/0 для шлюза eth2 на ISP2 с расстоянием 2.
маршрут отображается синим цветом и, похоже, не работает.

Я прочитал несколько примеров; но ничего не помогает; что мне не хватает в моей конфигурации? ..

Вс, 12 апреля 2020 г., 9:57

  • параметр distance маршрута определяет взаимный приоритет маршрутов с одинаковыми префиксами dst-address, когда их несколько. Таким образом, когда оба ether1 и ether2 работают, маршрут с более высоким значением distance остается неактивным; он становится активным только в том случае, если интерфейс шлюза другого выходит из строя (или, конечно, если вы отключаете или удаляете другой маршрут).
  • маршрут с более длинным (= более узким соответствием) префиксом dst-address всегда имеет преимущество над маршрутами, чьи префиксы dst-address также соответствуют адресу назначения пакета, но короче (= более широкое соответствие), независимо от расстояния.
  • если у вас нет собственного пула общедоступных IP-адресов и вы не можете передать его с помощью BGP обоим интернет-провайдерам, вам необходимо убедиться, что все загружаемые пакеты одного и того же соединения (сеанс TCP или другие) будут использовать одну и ту же глобальную сеть в первый раз. использовал или через который пришел первоначальный пакет загрузки, в противном случае удаленный хост не сможет назначить их для соединения и удалит их (если провайдер не удалит их первым, потому что они отправлены с неизвестного адреса ); следовательно, если вы хотите распределить нагрузку между двумя восходящими каналами WAN, вы должны использовать некоторую стратегию распределения нагрузки, которая гарантирует это. Распространенное название, используемое в сообществе Mikrotik, — «политика маршрутизации» (не путать с «политикой IPsec»), и здесь приводится описание одной из возможных реализаций. Там вы должны выбрать свою собственную стратегию распределения для исходящих соединений (от клиентов вашей локальной сети до серверов в Интернете), которые вы будете использовать как . список классифицирующих условий соответствия для обработки A.
  • может быть небезопасно полагаться только на тот факт, что интерфейс WAN работает, так как линия DSL или оборудование интернет-провайдера могут быть повреждены. Следовательно, хорошо проверить доступность некоторых бессмертных IP-адресов в Интернете, где популярные общедоступные DNS-серверы являются лучшим выбором, через каждую глобальную сеть, и позволить маршруту через эту глобальную сеть быть активным только в том случае, если его эталонный IP-адрес доступен там. Лучшее объяснение можно найти в превосходной статье Тимо Пуйстой.
  • используйте два значения меток маршрутизации (одно из них может быть пустым, например main)
  • с одной меткой маршрутизации настройте рекурсивный маршрут через WAN1 на 0.0.0.0/0 с distance=1 и рекурсивный маршрут через WAN2 на 0.0.0.0 с distance=2< /em>
  • с другой меткой маршрутизации настройте те же маршруты, но с измененными значениями расстояния
  • для начального пакета тех загрузочных (LAN->интернет) подключений, которые могут свободно выбирать глобальную сеть, не устанавливайте метку подключения, устанавливайте только метку маршрутизации. Это гарантирует, что если одна глобальная сеть выйдет из строя, соединения, которые обычно устанавливаются через нее, перейдут к другой.
  • если вы планируете какие-либо соединения, которые должны всегда использовать определенную глобальную сеть, несмотря ни на что, вам понадобится еще одна метка маршрутизации для этой цели (и один маршрут через эту глобальную сеть с этой маршрутизацией -знак)
  • назначать метку подключения только при искажении пакетов загрузки на основе внутри интерфейса. Это гарантирует, что подключение будет привязано к глобальной сети, которую использовал его первый пакет, как для подключений, инициированных из вашей локальной сети, так и для подключений, инициированных из Интернета (которые вы можете или не планируете использовать).
  • Конечно, перевод connection-mark в routing-mark для загружаемых пакетов должен оставаться на месте, вот и вся хитрость.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Пн, 13 апр. 2020 г., 3:07

Спасибо за ответ. Я застрял на добавлении и работе второго ISP2.. не получил вашей подробной информации.. балансировка нагрузки; разметка маршрутов и т.д..

Похоже, что я могу просто назначить статический IP-адрес для ISP2 на ether2, а затем добавить для него маршрут с расстоянием 2 для 0.0.0/0, и это добавит восходящий канал для ISP2..
после чего я мог бы продолжить более полезную настройку для ISP2.
это неправильно?

Пн, 13 апр. 2020 г., 9:59

Похоже, что я могу просто назначить статический IP-адрес для ISP2 на ether2, а затем добавить для него маршрут с расстоянием 2 для 0.0.0/0, и это добавит восходящий канал для ISP2..
после чего я мог бы продолжить более полезную настройку для ISP2.
это неправильно?

Вы можете сделать это, но для отправки любого трафика по этому восходящему каналу вам придется отключить/отключить другой или установить расстояние другого маршрута по умолчанию на 3 и выше, так как в противном случае маршрут по умолчанию по другому восходящему каналу будет использоваться, так как он имеет расстояние = 1.

Кроме того, чтобы разрешить ответ на трафик из локальной сети из Интернета, вы должны убедиться, что исходящий трафик через ether2 также будет src-nated (или замаскирован, есть тонкая, но важная разница). знать свою существующую конфигурацию, но если вы до сих пор использовали конфигурацию брандмауэра по умолчанию, этого должно быть достаточно, чтобы сделать ether2 членом списка интерфейсов WAN. Если нет, опубликуйте свою существующую конфигурацию, см. подсказки по анонимизации в моей автоматической подписи ниже.

Сложные настройки основаны на описанных выше основах и позволяют использовать оба исходящих канала параллельно.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Пн, 13 апр. 2020 г., 10:39

Хорошо.. Еще раз спасибо за ответ..

Итак. это удаленно управляемый маршрутизатор MT. К сожалению, я не могу позволить себе роскошь отключить ether1 без потери доступа.
Мне нужно иметь возможность подключить ether2 к ISP2 и проверить, действительно ли он активен и работает из внешней глобальной сети;
либо по ответу ICMP и т. д. Если я поставлю маршрут ISP2 на расстояние 1 и уберу маршрут ISP1 на расстояние 2... если ISP2
отказывается; Я предполагаю, что ISP1 возьмет на себя управление и продолжит работать даже на расстоянии 2. меня беспокоит потеря связи
с удаленным MT.. Чтобы было ясно; Я не на 100% уверен, что человек, который подключил ether2 к модему ISP2, даже
сделал это правильно. />самая базовая настройка, чтобы подтвердить, что я могу отправлять трафик на этот маршрутизатор MT, предназначенный для сети ether2 ISP2, и он
достигает пункта назначения.

Пн, 13 апр. 2020 г., 11:36

Хорошо, теперь я понимаю боль

Итак, самый простой способ просто проверить, подходит ли вторая глобальная сеть, — это настроить маршрут к какому-нибудь известному общедоступному IP-адресу, который, как вы не будете возражать, в конечном итоге станет недоступным через шлюз этой глобальной сети (например, 8.8.8.8, 8.8.4.4, 9.9.9.9 — в зависимости от того, что вы не используете в качестве DNS для Tik и его клиентов). Затем пропингуйте этот единственный адрес с самого микротика и во втором окне запустите /tool ​​sniffer quick interface=ether2 protocol=icmp. Если вы видите запросы и ответы на выход и приход, 2-й восходящий канал работает хорошо, и вы правильно установили этот тестовый маршрут. Если на пинг ответили, а сниффер ничего не показывает, значит что-то не так в настройках и пакеты по-прежнему идут по маршруту по умолчанию через WAN1; если ping не отвечает и отключение добавленного тестового маршрута заставляет его отвечать (возможно, вам придется остановить ping и повторить попытку через 11+ секунд), второй восходящий канал не работает.

Поскольку этот маршрут будет иметь префикс /32 (полный IP-адрес), он переопределит любой маршрут по умолчанию, независимо от значения расстояния.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Вт, 14 апреля 2020 г., 2:12

Я попробовал этот тест с маршрутом к 9.9.9.9 из ether2 через ISP2; и все запросы/ответы ICMP являются тайм-аутами.
Таким образом, не похоже, что этот восходящий канал ISP2 активен или работает. Мне нужно дополнительно изучить этот ISP2
и вернуться к этому сообщению с дополнительной информацией..

Чт, 16 апреля 2020 г., 7:56

Хорошо, так что это действительно было проблемой. Короче говоря; Интернет-провайдер 2 не был активен.

Итак, теперь ISP2 активен, и я подключил его к ether2 на мосту с его статикой.
Тестирование восходящего канала ISP2 ether2 прошло успешно.

Сейчас готов к настройке.. но что выбрать.. Склеивание; Сопоставитель PCC ;.
Плюсы:Против?

Чт, 16 апреля 2020 г., 9:46

Связанные ссылки должны использовать одно и то же пространство L2 (тот факт, что конкретная ссылка может быть выбрана на основе L3 или даже L4, ничего в этом не меняет), поэтому вам придется использовать туннель L2 для какого-либо центрального устройства на удаленном сервере данных. центр через каждого интернет-провайдера; это имеет ограниченный смысл только в особых случаях и вызывает всевозможные проблемы, наиболее заметной из которых является уменьшение MTU.

Сопоставление PCC само по себе упрощает задачу, но имеет ограничения: его можно использовать только в том случае, если все соединения инициируются в направлении LAN->WAN. В любом приложении, использующем два отдельных потока данных (VoIP, IPsec, не говоря уже о таких динозаврах, как PPTP или FTP), PCC без отслеживания соединения нарушит работу, поскольку сеанс данных может оказаться в другой глобальной сети, чем сеанс управления.

Таким образом, это зависит от роли 4011, но поскольку вы упомянули три (вероятно общедоступных) статических IP-адреса для каждой глобальной сети, я предполагаю, что вы хотите использовать переадресацию портов и т. д., и в этом случае для выбора глобальной сети можно использовать PCC. для первых пакетов исходящих (LAN->WAN) подключений, но затем должно взять на себя отслеживание соединений.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Читайте также: