Переключение активного провайдера

Базовая функциональность RouterOS
Ответить
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Переключение активного провайдера

Сообщение mrWayer »

Добрый день! На горизонте возник вопрос, заранее прошу не кидаться тапками, из меня сетевик такой себе.)

Есть два провайдера, у обоих есть свои коробки (у одного просто PPPoE, у второго gPon модем). На выходе висят LAN из каждой по одному, и на каждый приходят статические IP от провайдера. Кабеля воткнуты в Ether1, Ether2 в коробку RB962UiGS.

Собственно сам вопрос в чем: есть ли возможность сделать forward входящего трафика с обеих провайдер-коробок и использовать тот, что на первом порте, или второй, в зависимости от того, работает ли первый или отключен? Усложняется все тем, что на Микротике нужно поднять VPN, доступный по одному из статических адресов. Может какой-то мануал для "чайников" имеется?)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka »

Добрый.

Форвард с обоих ISP, например, есть в документации в примере балансировки: https://wiki.mikrotik.com/wiki/Manual:P ... _Balancing

Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting

З.Ы. Переместил тему в Общие вопросы, т.к. про скриптинг тут пока ничего нет :)
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Chupaka писал(а): 02 мар 2019, 13:16 Какие у вас критерии "работает ли первый или отключен"? Недоступность коробки или недоступность Интернет-ресурсов через коробку? Если второе - можно глянуть сюда: https://wiki.mikrotik.com/wiki/Advanced ... _Scripting
Да, второе, падает соединение с инетом от коробки провайдера. Меня больше всего смущает, что нужно сделать доступный извне VPN сервер, который бы не зависел от того, какой провайдер активен. Просто обращаться к нему можно было бы только по одному из IP, который активен на данный.
Chupaka писал(а): 02 мар 2019, 13:16 З.Ы. Переместил тему в Общие вопросы, т.к. про скриптинг тут пока ничего нет :)
Прошу прощения, не был в курсе, куда лучше написать.)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka »

Т.е. проброс портов должен работать с обоих провайдеров, а подключение по VPN — только с одного (первого, если он работает)?
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Chupaka писал(а): 03 мар 2019, 02:42 Т.е. проброс портов должен работать с обоих провайдеров, а подключение по VPN — только с одного (первого, если он работает)?
Ну логика задумывалась такая:

1) Провайдер в ether1 - основной провайдер
2) Провайдер в ether2 - дополнительный.

Если соединение с интернетом через ether1 стабильно и, например, 8.8.8.8 пингуется - то раздавать инет из ether1 всем кто подключен через ether3-5 и wifi. Но если ether1 недоступно, то сделать все то же самое, но порт с инетом будет ether2, при этом коробка будет пытаться делать пинг через ether1 пока не станет ок соединение, после чего переключиться в ether1. С входящим трафиком все идентично, как я полагаю.

Идея в том, что каналы у провайдеров разные, у первого он в разы шире, второй же, резервный, нужен только для возможности сохранить доступность некоторых внутренних ресурсов.

Если можно сделать это другими путями, то я буду рад услышать предложения, ибо, как я уже сказал, я не специалист по сетям. :)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka »

Вы не полагайте, вы описывайте задачу. Что значит "идентично"? Если 8.8.8.8 доступен через первого провайдера - то входящие от второго провайдера не должны работать?
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Chupaka писал(а): 03 мар 2019, 15:32 Если 8.8.8.8 доступен через первого провайдера - то входящие от второго провайдера не должны работать?
Это зависит от того, какая из реализаций проще - научить коробку работать сразу с двумя активными входящими соединениями, или закрыть резервеный до тех пор, пока основной активен и не требует резервной линии.
Chupaka писал(а): 03 мар 2019, 15:32 Вы не полагайте, вы описывайте задачу.
Да уже же описал в целом, в топик-старте.( Может не совсем понятно изъясняюсь, еще раз прошу прощения.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka »

Не поддерживать параллельную работу двух каналов, естественно, проще.

Код: Выделить всё

/ip route
add dst-address=8.8.8.8 gateway=коробка_1 scope=10
add distance=1 gateway=8.8.8.8 check-gateway=ping
add distance=5 gateway=коробка_2
(И текущий дефолтный маршрут через коробку_1, естественно, убрать)
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Chupaka писал(а): 04 мар 2019, 15:11 Не поддерживать параллельную работу двух каналов, естественно, проще.

Код: Выделить всё

/ip route
add dst-address=8.8.8.8 gateway=коробка_1 scope=10
add distance=1 gateway=8.8.8.8 check-gateway=ping
add distance=5 gateway=коробка_2
(И текущий дефолтный маршрут через коробку_1, естественно, убрать)
Спасибо за ответ! Буду пробовать! :)
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Вроде бы все настроил, но возникло пару вопросов:

1) Включил PPTP сервер для пользователей;
2) Выбрал тот же пул что и у внутренних пользователей;
3) Cоздал секретов

А как теперь этим пользователям разрешить лазить в сетке, но запретить доступ на внешку (чтобы использовали свой канал (отключение параметра Use default gateway on remote network в настройках VPN))?
Микротик - 192.168.2.1, dhcp pool - 192.168.2.10-192.168.2.254.

Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).

Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем

К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?

Или я свернул куда-то не туда?)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka »

mrWayer писал(а): 05 мар 2019, 13:15 Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).
Поэтому более правильный вариант - выбрать нормальные подсети, например 172.16.2.0/24 для локалки и 172.16.3.0/24 для VPN, или 10.0.2.0/24 и 10.0.3.0/24; в этому случае будут добавляться маршруты на бОльшие подсети: viewtopic.php?f=2&t=2639
mrWayer писал(а): 05 мар 2019, 13:15 Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем
Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
mrWayer писал(а): 05 мар 2019, 13:15 К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?
Покажите хотя бы скриншот или /ip route print detail, когда ether1 выключен. Там ещё важно, какие маршруты Active.
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Chupaka писал(а): 05 мар 2019, 15:38 Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
А разве, в таком случае, я не запрещу всем доступ к WAN? Просто в графе Address в Firewall -> Address List мне же нужно по умолчанию что-то поставить.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka »

Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer »

Chupaka писал(а): 05 мар 2019, 17:44 Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject
А, понял, а я решил, по глупости, что нужно создать лист, а он оказывается Dynamic.)
Ответить