Переключение активного провайдера

Базовая функциональность RouterOS
mrWayer
Сообщения: 8
Зарегистрирован: 01 мар 2019, 17:03

Переключение активного провайдера

Сообщение mrWayer » 02 мар 2019, 12:30

Добрый день! На горизонте возник вопрос, заранее прошу не кидаться тапками, из меня сетевик такой себе.)

Есть два провайдера, у обоих есть свои коробки (у одного просто PPPoE, у второго gPon модем). На выходе висят LAN из каждой по одному, и на каждый приходят статические IP от провайдера. Кабеля воткнуты в Ether1, Ether2 в коробку RB962UiGS.

Собственно сам вопрос в чем: есть ли возможность сделать forward входящего трафика с обеих провайдер-коробок и использовать тот, что на первом порте, или второй, в зависимости от того, работает ли первый или отключен? Усложняется все тем, что на Микротике нужно поднять VPN, доступный по одному из статических адресов. Может какой-то мануал для "чайников" имеется?)

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka » 02 мар 2019, 13:16

Добрый.

Форвард с обоих ISP, например, есть в документации в примере балансировки: https://wiki.mikrotik.com/wiki/Manual:P ... _Balancing

Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting

З.Ы. Переместил тему в Общие вопросы, т.к. про скриптинг тут пока ничего нет :)

mrWayer
Сообщения: 8
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 02 мар 2019, 15:20

Chupaka писал(а):
02 мар 2019, 13:16
Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting
Да, второе, падает соединение с инетом от коробки провайдера. Меня больше всего смущает, что нужно сделать доступный извне VPN сервер, который бы не зависел от того, какой провайдер активен. Просто обращаться к нему можно было бы только по одному из IP, который активен на данный.
Chupaka писал(а):
02 мар 2019, 13:16
З.Ы. Переместил тему в Общие вопросы, т.к. про скриптинг тут пока ничего нет :)
Прошу прощения, не был в курсе, куда лучше написать.)

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka » 03 мар 2019, 02:42

Т.е. проброс портов должен работать с обоих провайдеров, а подключение по VPN — только с одного (первого, если он работает)?

mrWayer
Сообщения: 8
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 03 мар 2019, 10:09

Chupaka писал(а):
03 мар 2019, 02:42
Т.е. проброс портов должен работать с обоих провайдеров, а подключение по VPN — только с одного (первого, если он работает)?
Ну логика задумывалась такая:

1) Провайдер в ether1 - основной провайдер
2) Провайдер в ether2 - дополнительный.

Если соединение с интернетом через ether1 стабильно и, например, 8.8.8.8 пингуется - то раздавать инет из ether1 всем кто подключен через ether3-5 и wifi. Но если ether1 недоступно, то сделать все то же самое, но порт с инетом будет ether2, при этом коробка будет пытаться делать пинг через ether1 пока не станет ок соединение, после чего переключиться в ether1. С входящим трафиком все идентично, как я полагаю.

Идея в том, что каналы у провайдеров разные, у первого он в разы шире, второй же, резервный, нужен только для возможности сохранить доступность некоторых внутренних ресурсов.

Если можно сделать это другими путями, то я буду рад услышать предложения, ибо, как я уже сказал, я не специалист по сетям. :)

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka » 03 мар 2019, 15:32

Вы не полагайте, вы описывайте задачу. Что значит "идентично"? Если 8.8.8.8 доступен через первого провайдера - то входящие от второго провайдера не должны работать?

mrWayer
Сообщения: 8
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 04 мар 2019, 13:51

Chupaka писал(а):
03 мар 2019, 15:32
Если 8.8.8.8 доступен через первого провайдера - то входящие от второго провайдера не должны работать?
Это зависит от того, какая из реализаций проще - научить коробку работать сразу с двумя активными входящими соединениями, или закрыть резервеный до тех пор, пока основной активен и не требует резервной линии.
Chupaka писал(а):
03 мар 2019, 15:32
Вы не полагайте, вы описывайте задачу.
Да уже же описал в целом, в топик-старте.( Может не совсем понятно изъясняюсь, еще раз прошу прощения.

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka » 04 мар 2019, 15:11

Не поддерживать параллельную работу двух каналов, естественно, проще.

Код: Выделить всё

/ip route
add dst-address=8.8.8.8 gateway=коробка_1 scope=10
add distance=1 gateway=8.8.8.8 check-gateway=ping
add distance=5 gateway=коробка_2
(И текущий дефолтный маршрут через коробку_1, естественно, убрать)

mrWayer
Сообщения: 8
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 04 мар 2019, 16:01

Chupaka писал(а):
04 мар 2019, 15:11
Не поддерживать параллельную работу двух каналов, естественно, проще.

Код: Выделить всё

/ip route
add dst-address=8.8.8.8 gateway=коробка_1 scope=10
add distance=1 gateway=8.8.8.8 check-gateway=ping
add distance=5 gateway=коробка_2
(И текущий дефолтный маршрут через коробку_1, естественно, убрать)
Спасибо за ответ! Буду пробовать! :)

mrWayer
Сообщения: 8
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 05 мар 2019, 13:15

Вроде бы все настроил, но возникло пару вопросов:

1) Включил PPTP сервер для пользователей;
2) Выбрал тот же пул что и у внутренних пользователей;
3) Cоздал секретов

А как теперь этим пользователям разрешить лазить в сетке, но запретить доступ на внешку (чтобы использовали свой канал (отключение параметра Use default gateway on remote network в настройках VPN))?
Микротик - 192.168.2.1, dhcp pool - 192.168.2.10-192.168.2.254.

Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).

Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем

К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?

Или я свернул куда-то не туда?)

Ответить