Переключение активного провайдера
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Переключение активного провайдера
Добрый день! На горизонте возник вопрос, заранее прошу не кидаться тапками, из меня сетевик такой себе.)
Есть два провайдера, у обоих есть свои коробки (у одного просто PPPoE, у второго gPon модем). На выходе висят LAN из каждой по одному, и на каждый приходят статические IP от провайдера. Кабеля воткнуты в Ether1, Ether2 в коробку RB962UiGS.
Собственно сам вопрос в чем: есть ли возможность сделать forward входящего трафика с обеих провайдер-коробок и использовать тот, что на первом порте, или второй, в зависимости от того, работает ли первый или отключен? Усложняется все тем, что на Микротике нужно поднять VPN, доступный по одному из статических адресов. Может какой-то мануал для "чайников" имеется?)
Есть два провайдера, у обоих есть свои коробки (у одного просто PPPoE, у второго gPon модем). На выходе висят LAN из каждой по одному, и на каждый приходят статические IP от провайдера. Кабеля воткнуты в Ether1, Ether2 в коробку RB962UiGS.
Собственно сам вопрос в чем: есть ли возможность сделать forward входящего трафика с обеих провайдер-коробок и использовать тот, что на первом порте, или второй, в зависимости от того, работает ли первый или отключен? Усложняется все тем, что на Микротике нужно поднять VPN, доступный по одному из статических адресов. Может какой-то мануал для "чайников" имеется?)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Переключение активного провайдера
Добрый.
Форвард с обоих ISP, например, есть в документации в примере балансировки: https://wiki.mikrotik.com/wiki/Manual:P ... _Balancing
Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting
З.Ы. Переместил тему в Общие вопросы, т.к. про скриптинг тут пока ничего нет
Форвард с обоих ISP, например, есть в документации в примере балансировки: https://wiki.mikrotik.com/wiki/Manual:P ... _Balancing
Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting
З.Ы. Переместил тему в Общие вопросы, т.к. про скриптинг тут пока ничего нет
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
Да, второе, падает соединение с инетом от коробки провайдера. Меня больше всего смущает, что нужно сделать доступный извне VPN сервер, который бы не зависел от того, какой провайдер активен. Просто обращаться к нему можно было бы только по одному из IP, который активен на данный.Chupaka писал(а): ↑02 мар 2019, 13:16 Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting
Прошу прощения, не был в курсе, куда лучше написать.)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Переключение активного провайдера
Т.е. проброс портов должен работать с обоих провайдеров, а подключение по VPN — только с одного (первого, если он работает)?
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
Ну логика задумывалась такая:
1) Провайдер в ether1 - основной провайдер
2) Провайдер в ether2 - дополнительный.
Если соединение с интернетом через ether1 стабильно и, например, 8.8.8.8 пингуется - то раздавать инет из ether1 всем кто подключен через ether3-5 и wifi. Но если ether1 недоступно, то сделать все то же самое, но порт с инетом будет ether2, при этом коробка будет пытаться делать пинг через ether1 пока не станет ок соединение, после чего переключиться в ether1. С входящим трафиком все идентично, как я полагаю.
Идея в том, что каналы у провайдеров разные, у первого он в разы шире, второй же, резервный, нужен только для возможности сохранить доступность некоторых внутренних ресурсов.
Если можно сделать это другими путями, то я буду рад услышать предложения, ибо, как я уже сказал, я не специалист по сетям.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Переключение активного провайдера
Вы не полагайте, вы описывайте задачу. Что значит "идентично"? Если 8.8.8.8 доступен через первого провайдера - то входящие от второго провайдера не должны работать?
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
Это зависит от того, какая из реализаций проще - научить коробку работать сразу с двумя активными входящими соединениями, или закрыть резервеный до тех пор, пока основной активен и не требует резервной линии.
Да уже же описал в целом, в топик-старте.( Может не совсем понятно изъясняюсь, еще раз прошу прощения.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Переключение активного провайдера
Не поддерживать параллельную работу двух каналов, естественно, проще.
(И текущий дефолтный маршрут через коробку_1, естественно, убрать)
Код: Выделить всё
/ip route
add dst-address=8.8.8.8 gateway=коробка_1 scope=10
add distance=1 gateway=8.8.8.8 check-gateway=ping
add distance=5 gateway=коробка_2
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
Спасибо за ответ! Буду пробовать!Chupaka писал(а): ↑04 мар 2019, 15:11 Не поддерживать параллельную работу двух каналов, естественно, проще.
(И текущий дефолтный маршрут через коробку_1, естественно, убрать)Код: Выделить всё
/ip route add dst-address=8.8.8.8 gateway=коробка_1 scope=10 add distance=1 gateway=8.8.8.8 check-gateway=ping add distance=5 gateway=коробка_2
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
Вроде бы все настроил, но возникло пару вопросов:
1) Включил PPTP сервер для пользователей;
2) Выбрал тот же пул что и у внутренних пользователей;
3) Cоздал секретов
А как теперь этим пользователям разрешить лазить в сетке, но запретить доступ на внешку (чтобы использовали свой канал (отключение параметра Use default gateway on remote network в настройках VPN))?
Микротик - 192.168.2.1, dhcp pool - 192.168.2.10-192.168.2.254.
Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).
Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем
К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?
Или я свернул куда-то не туда?)
1) Включил PPTP сервер для пользователей;
2) Выбрал тот же пул что и у внутренних пользователей;
3) Cоздал секретов
А как теперь этим пользователям разрешить лазить в сетке, но запретить доступ на внешку (чтобы использовали свой канал (отключение параметра Use default gateway on remote network в настройках VPN))?
Микротик - 192.168.2.1, dhcp pool - 192.168.2.10-192.168.2.254.
Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).
Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем
К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?
Или я свернул куда-то не туда?)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Переключение активного провайдера
Поэтому более правильный вариант - выбрать нормальные подсети, например 172.16.2.0/24 для локалки и 172.16.3.0/24 для VPN, или 10.0.2.0/24 и 10.0.3.0/24; в этому случае будут добавляться маршруты на бОльшие подсети: viewtopic.php?f=2&t=2639
Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
Покажите хотя бы скриншот или /ip route print detail, когда ether1 выключен. Там ещё важно, какие маршруты Active.mrWayer писал(а): ↑05 мар 2019, 13:15 К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
А разве, в таком случае, я не запрещу всем доступ к WAN? Просто в графе Address в Firewall -> Address List мне же нужно по умолчанию что-то поставить.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Переключение активного провайдера
Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject
-
- Сообщения: 11
- Зарегистрирован: 01 мар 2019, 17:03
Re: Переключение активного провайдера
А, понял, а я решил, по глупости, что нужно создать лист, а он оказывается Dynamic.)