Перейти до

Нужен маршуртизатор для склеивание 2х каналов

nas12

Автор: nas12,
в Обладнання

 Share Подписчики 1

Рекомендованные сообщения

nas12

nas12 0

Опубликовано:
Опубликовано:

Доброе время форумчане.Есть сеть, появилась потребность в 2х каналах, для улучшения трасс, и регулирование нагрузки.У нас стоит mikrotik rb750g, на нём pppoe сервер,.склеивать 2 канала не получилось так как 2 Админа сказали что склеивание это жесть, и будут постоянно обрывы по контакту и одноклассникам.Канала 80 мб и 30мб второй канал.Что то с простенького можете предложить?

Ссылка на сообщение
Поделиться на других сайтах
Melanxolik

Melanxolik 63

Опубліковано:
Опубліковано:

не пойму, в тырнете куча примеров.

клейте на здоровье.

добавляйте во временные листы и делайте балансировку, вариантов её валом опять же.

а админов действительно увольте.

Ссылка на сообщение
Поделиться на других сайтах
givchik

givchik 12

Опубліковано:
Опубліковано:

MikroTik и два канала в интернет. Часть 1 - Интернет для локальной сети.

 

http://papa-admin.ru...нтернет-часть-1

 

MikroTik и два канала в интернет. Часть 1 - Интернет для локальной сети.

 

 

emailButton.pngprintButton.pngpdf_button.png

 

Предлагаю вашему вниманию пример настройки MikroTik RouterOS на самой популярной, на сегодняшний день, версии v3.20 для работы с двумя провайдерами и публикации интернет-сервисов за маршрутизатором. При этом интернет-сервисы смогут автоматически отвечать по запросам пришедшим с обоих провайдеров.

ЧАСТЬ 1. НАСТРОЙКА ВЫХОДА В ИНТЕРНЕТ ИЗ ЛОКАЛЬНОЙ СЕТИ И БАЗОВАЯ ЗАЩИТА МАРШРУТИЗАТОРА.

 

Пример сделан на абсолютно чистой конфигурации. Из-за моей специфики я добавил всего-лишь несколько vlan-ов.

 

У меня в системе два физических интерфейса, из которых один смотрит в локальную сеть (ether2), а на другом (ether1) подключены два vlan-а.

Наличие vlan-ов вас не должно пугать, просто замените их на название ваших сетевых интерфейсов.

И так, структура сети следующая:

локальная сеть, интерфейс ether2, адрес 192.168.8.35/24

первый провайдер: интерфейс vlan54, адрес 89.15.64.9/26

второй провайдер: интерфейс vlan40, адрес 82.19.115.100/29

Начнем, с включения сетевых инетрфейсов, если они по какой-то причине у вас выключены:

interface enable ether1

interface enable ether2

interface enable vlan54

interface enable vlan40

 

Результат:

[admin@MikroTik] > interface print

Flags: D - dynamic, X - disabled, R - running, S - slave

# NAME TYPE MTU

0 R ether1 ether 1500

1 R ether2 ether 1500

2 R vlan40 vlan 1500

3 R vlan54 vlan 1500

[admin@MikroTik] >

 

Добавляем ip адреса:

ip address add address=192.168.8.35/24 interface=ether2 comment="local

ip address add address=82.19.115.100/29 interface=vlan40 comment="isp1"

ip address add address=89.15.64.9/26 interface=vlan54 comment="isp2"

 

Должно получиться следующее:

[admin@MikroTik] > ip address print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 ;;; local

192.168.8.35/24 192.168.8.0 192.168.8.255 ether2

1 ;;; isp2

89.15.64.9/26 89.15.64.0 89.15.64.63 vlan54

2 ;;; isp1

82.19.115.100/29 82.19.115.96 82.19.115.103 vlan40

[admin@MikroTik] >

 

После этого, если все кабели подключены то у нас должны пинговаться адреса в локальной сети и шлюзы провайдеров:

[admin@MikroTik] > ping 192.168.8.2

192.168.8.2 64 byte ping: ttl=255 time<1 ms

192.168.8.2 64 byte ping: ttl=255 time<1 ms

2 packets transmitted, 2 packets received, 0% packet loss

round-trip min/avg/max = 0/0.0/0 ms

[admin@MikroTik] > ping 82.19.115.97

82.19.115.97 64 byte ping: ttl=255 time=12 ms

82.19.115.97 64 byte ping: ttl=255 time<1 ms

2 packets transmitted, 2 packets received, 0% packet loss

round-trip min/avg/max = 0/6.0/12 ms

[admin@MikroTik] > ping 89.15.64.2

89.15.64.2 64 byte ping: ttl=255 time=10 ms

89.15.64.2 64 byte ping: ttl=255 time<1 ms

2 packets transmitted, 2 packets received, 0% packet loss

round-trip min/avg/max = 0/5.0/10 ms

[admin@MikroTik] >

 

На этом этапе, если хотите, можете подключиться к маршрутизатору через WinBox

Базовая защита маршрутизатора (входящие соединения на сам маршрутизатор):

ip firewall filter add chain input connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain input connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain input connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain input protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain input protocol=icmp action=accept comment="Allow ICMP Ping"

ip firewall filter add chain input src-address=192.168.8.0/24 action=accept comment="Access to router only from local network"

ip firewall filter add chain input action=drop comment="All other inputs drop"

У нас должно получиться следующее:

[admin@MikroTik] > ip firewall filter print chain input

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; Drop invalid connection packets

chain=input action=drop connection-state=invalid

1 ;;; Allow established connections

chain=input action=accept connection-state=established

2 ;;; Allow related connections

chain=input action=accept connection-state=related

3 ;;; Allow UDP

chain=input action=accept protocol=udp

4 ;;; Allow ICMP Ping

chain=input action=accept protocol=icmp

5 ;;; Access to router only from local network

chain=input action=accept src-address=192.168.8.0/24

6 ;;; All other inputs drop

chain=input action=drop

[admin@MikroTik] >

 

Настраиваем выход в интернет из локальной сети:

ip firewall nat add chain=srcnat action=masquerade src-address=192.168.8.0/24 out-interface=vlan40

ip firewall nat add chain=srcnat action=masquerade src-address=192.168.8.0/24 out-interface=vlan54

 

Разрешаем маршрутизацию служебных пакетов через сам маршрутизатор:

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

Разрешаем выход в интернет для всех адресов из локальной сети:

ip firewall filter add chain forward in-interface=ether2 src-address=192.168.8.0/24 action=accept comment="Access to internet from local network"

 

Все остальные пакеты проходящие через маршорутизатор блокируем:

ip firewall filter add chain forward action=drop comment="All other forwards drop"

Результат:

[admin@MikroTik] > ip firewall filter print chain forward

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; fake 10.0.0.0/8

chain=forward action=drop src-address=10.0.0.0/8 in-interface=!ether2

 

1 ;;; fake 172.16.0.0/12

chain=forward action=drop src-address=172.16.0.0/12 in-interface=!ether2

 

2 ;;; fake 192.168.0.0/16

chain=forward action=drop src-address=192.168.0.0/16 in-interface=!ether2

 

3 ;;; Drop invalid connection packets

chain=forward action=drop connection-state=invalid

 

4 ;;; Allow established connections

chain=forward action=accept connection-state=established

 

5 ;;; Allow related connections

chain=forward action=accept connection-state=related

 

6 ;;; Allow UDP

chain=forward action=accept protocol=udp

 

7 ;;; Allow ICMP Ping

chain=forward action=accept protocol=icmp

 

8 ;;; Access to internet from local network

chain=forward action=accept src-address=192.168.8.0/24 in-interface=ether2

 

9 ;;; All other forwards drop

chain=forward action=drop

[admin@MikroTik] >

 

А теперь, чтобы пользователи действительно могли выйти в интернет, необходимо добавить правило маршрутизации.

Я специально делаю чтобы по умолчанию все исходящие соединения шли через одного конкретного провайдера (isp1), а второй пока пусть будет отключен.

ip route add dst-address=0.0.0.0/0 gateway=82.19.115.97 comment="gw1"

ip route add dst-address=0.0.0.0/0 gateway=89.15.64.2 comment="gw2" disabled=yes

[admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE

0 0.0.0.0/0 reachable 82.19.115.97 1 vlan40

1 ADC 82.19.115.96/29 82.19.115.100 0 vlan40

2 ADC 89.15.64.0/26 89.15.64.9 0 vlan54

3 ADC 192.168.8.0/24 192.168.8.35 0 ether2

[admin@MikroTik] >

Желающие использовать балансировку одинаково распределенную между двумя провайдерами укажите вместо адреса шлюза одного провайдра, через запятую, адреса обоих.

 

На этом первая часть настройки маршрутизатора завершена. Результаты её: маршрутизатор защищен от вторжений из вне, и пользователи из локальной сети имеют выход в интерент.

 

MikroTik и два канала в интернет. Часть 2 - Публикация интернет-сервисов за NATом

emailButton.pngprintButton.pngpdf_button.png

 

В предыдущей статье "MikroTik и два канала в интернет. Часть 1" было рассказано про базовые настройки маршрутизатора под управлением MikroTik RouterOS v3.20. Теперь же я расскажу о самом интересном: публикации интернет-сервисов для работы за NATом, при этом они автоматически будут работать с двумя провайдерами, т.е. от какого провайдра пришел запрос, тому провайдеру и будет выдан ответ.

Вообще, история данного решения такова: После безуспешных попыток сделать такое на Cisco PIX 515E, наткнулся на статью, где сама cisco заявляет "load balancing or load sharing as it is not supported on ASA/PIX" и понял, что это просто невозможно Вспомнил, что давным давно, когда вода была мокрее , а сахар слаще, я такое реализовывал на маршрутизаторе MikroTik с RouterOS v.2.7. Тогда же мной был создан сайт pcrouter.ru, и написано несколько статей про настройку RouterOS. Но, это было давно, и как говориться, не правда. Сайт давно сменил хозяина, я сменил место работы, и мне больше не приходилось иметь дело с несколькими каналами в одном маршрутизаторе, поэтому на какое-то время забросил опыты с MiroTIk. Но, вот опять, два канала и надо чтобы оба работали. Так как времени прошло много, то и версия RouterOS поменялось не мало, и соответственно моё решение уже не работало современных версиях. Обыскав весь интернет ничего дельного не нашел. Попадались только варианты с заранее прописанной статической маршрутизацией на каждого провайдера, а мне то надо динамически. Службой поддержки MikroTik был сразу послан. В итоге, несколько вечеров за чтением документации и экпериментов, и вот, все получилось. Как говориться "решение на 1000$", пользуйтесь на здоровье !

Желающие отблагодарить - могут перечислить любую сумму на Яндекс.Деньги № 4100145284318.

Это было предисловие, а теперь к делу.

ЧАСТЬ 2. ПУБЛИКАЦИЯ ИНТЕРНЕТ-СЕРВИСОВ НА ПРИМЕРЕ ПОЧТОВОГО СЕРВЕРА.

 

Для примера буду использовать почтовый сервер находящийся по ip адресу 192.168.8.21 на 25 порту протокола tcp.

Для корректной работы шлюзом по умолчанию должен быть MikroTik, в моём примере его ip адрес 192.168.8.35

Делаем переадресацию входящих запросов приходящих на маршрутизатор на реальные адреса на почтовый сервер, внутренний адрес.

Два правила, по одному для каждого провайдера.

ip firewall nat add chain=dstnat action=dst-nat in-interface=vlan40 protocol=tcp dst-port=25 to-address=192.168.8.21 to-ports=25

ip firewall nat add chain=dstnat action=dst-nat in-interface=vlan54 protocol=tcp dst-port=25 to-address=192.168.8.21 to-ports=25

Разрешаем прохождение пакетов через маршрутизатор адресованных почтовому серверу:

ip firewall filter add chain forward in-interface=vlan40 protocol=tcp dst-port=25 dst-address=192.168.8.21 action=accept comment="vlan40 to smtp"

ip firewall filter add chain forward in-interface=vlan54 protocol=tcp dst-port=25 dst-address=192.168.8.21 action=accept comment="vlan54 to smtp"

Если вы, как в первой части статьи, разрешили выход в интернет всем, то следующее правило вам не нужно вводить.

В противном случае, разрешаем с почтового сервера создание новых соединений на другие почтовый серверы в интернете:

ip firewall filter add chain forward in-interface=ether2 src-address=192.168.8.21/32 protocol=tcp dst-port=25 action=accept comment="Access to SMTP servers from local mail server"

Результат должен быть таким:

[admin@MikroTik] > ip firewall filter print chain forward

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; Drop invalid connection packets

chain=forward action=drop connection-state=invalid

 

1 ;;; Allow established connections

chain=forward action=accept connection-state=established

 

2 ;;; Allow related connections

chain=forward action=accept connection-state=related

 

3 ;;; Allow UDP

chain=forward action=accept protocol=udp

 

4 ;;; Allow ICMP Ping

chain=forward action=accept protocol=icmp

 

5 ;;; Access to internet from local network

chain=forward action=accept src-address=192.168.8.0/24 in-interface=ether2

 

6 ;;; All other forwards drop

chain=forward action=drop

 

7 ;;; vlan40 to smtp

chain=forward action=accept protocol=tcp dst-address=192.168.8.21 in-interface=vlan40 dst-port=25

 

8 ;;; vlan54 to smtp

chain=forward action=accept protocol=tcp dst-address=192.168.8.21 in-interface=vlan54 dst-port=25

 

9 ;;; Access to SMTP servers from local mail server

chain=forward action=accept protocol=tcp src-address=192.168.8.21 in-interface=ether2 dst-port=25

[admin@MikroTik] >

Как видите, наши новые правила оказались после запрещающего правила, поэтому это запрещающее правило удаляем и заново создаем (перед удалением всегнда надо сначало сделать print):

ip firewall filter print chain forward

ip firewall filter remove 6

ip firewall filter add chain forward action=drop comment="All other forwards drop"

Должно получиться следующее:

[admin@MikroTik] > ip firewall filter print chain forward

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; Drop invalid connection packets

chain=forward action=drop connection-state=invalid

 

1 ;;; Allow established connections

chain=forward action=accept connection-state=established

 

2 ;;; Allow related connections

chain=forward action=accept connection-state=related

 

3 ;;; Allow UDP

chain=forward action=accept protocol=udp

 

4 ;;; Allow ICMP Ping

chain=forward action=accept protocol=icmp

 

5 ;;; Access to internet from local network

chain=forward action=accept src-address=192.168.8.0/24 in-interface=ether2

 

6 ;;; vlan40 to smtp

chain=forward action=accept protocol=tcp dst-address=192.168.8.21 in-interface=vlan40 dst-port=25

 

7 ;;; vlan54 to smtp

chain=forward action=accept protocol=tcp dst-address=192.168.8.21 in-interface=vlan54 dst-port=25

 

8 ;;; Access to SMTP servers from local mail server

chain=forward action=accept protocol=tcp src-address=192.168.8.21 in-interface=ether2 dst-port=25

 

9 ;;; All other forwards drop

chain=forward action=drop

[admin@MikroTik] >

Ну, а теперь самое интересно, помечаем входящие соединения, чтобы ответы шли через того провайдера с которого получен запрос:

ip firewall mangle add chain=forward in-interface=vlan40 action=mark-connection new-connection-mark=vlan40_c passthrough=yes

ip firewall mangle add chain=forward in-interface=vlan54 action=mark-connection new-connection-mark=vlan54_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.8.0/24 connection-mark=vlan40_c action=mark-routing new-routing-mark=vlan40_r passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.8.0/24 connection-mark=vlan54_c action=mark-routing new-routing-mark=vlan54_r passthrough=yes

Проверяем результат:

[admin@MikroTik] > ip firewall mangle print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=forward action=mark-connection new-connection-mark=vlan40_c passthrough=yes in-interface=vlan40

 

1 chain=forward action=mark-connection new-connection-mark=vlan54_c passthrough=yes in-interface=vlan54

 

2 chain=prerouting action=mark-routing new-routing-mark=vlan40_r passthrough=yes src-address=192.168.8.0/24 connection-mark=vlan40_c

 

3 chain=prerouting action=mark-routing new-routing-mark=vlan54_r passthrough=yes src-address=192.168.8.0/24 connection-mark=vlan54_c

[admin@MikroTik] >

Добавляем правила маршрутизации:

ip route add routing-mark=vlan40_r gateway=82.19.115.97

ip route add routing-mark=vlan54_r gateway=89.15.64.2

Должно получиться следующее:

[admin@MikroTik] > ip route print detail

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

0 A S dst-address=0.0.0.0/0 gateway=82.19.115.97 interface=vlan40 gateway-state=reachable distance=1 scope=30 target-scope=10

 

1 A S dst-address=0.0.0.0/0 gateway=82.19.115.97 interface=vlan40 gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark=vlan40_r

 

2 A S dst-address=0.0.0.0/0 gateway=89.15.64.2 interface=vlan54 gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark=vlan54_r

 

3 ADC dst-address=82.19.115.96/29 pref-src=82.19.115.100 interface=vlan40 distance=0 scope=10

 

4 ADC dst-address=89.15.64.0/26 pref-src=89.15.64.9 interface=vlan54 distance=0 scope=10

 

5 ADC dst-address=192.168.8.0/24 pref-src=192.168.8.35 interface=ether2 distance=0 scope=10

[admin@MikroTik] >

Проверяеем, и радуемся как все работает.

Ссылка на сообщение
Поделиться на других сайтах
Перед созданием темы или сообщения настоятельно рекомендуем ознакомиться с правилами раздела Торговля.
Правила раздела Торговля.
Для удобства был создан раздел оборудования на сайте.

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...