+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Балансировка нагрузки PCC в OS7

Балансировка нагрузки PCC в OS7, RouterOS

papayeya

Guest

10.06.2024 11:01:00

Всем привет, я новичок и нужна ваша помощь. У меня Mikrotik с OS7. Я хочу подключить к нему несколько WAN-линий для балансировки нагрузки и отказоустойчивости. Также у меня есть VPN-соединение, которое используется для связи с удалённым Radius-сервером через порты 1812, 1813 и 1700.

WAN1 IP: 196.22.54.138/30
WAN2 IP: 192.168.1.1
VPN локальный IP: 192.168.200.232
VPN сервер IP: 192.168.200.1
Radius сервер: 192.168.10.243

Сейчас подключена только одна WAN-линия, VPN работает нормально, без проблем. Я хочу добавить вторую WAN для балансировки нагрузки. Смотрел официальное видео на YouTube по этой ссылке: https://www.youtube.com/watch?v=nlb7XAv57tw&t=169s&pp=ygUQUENDIG1pa3JvdGlrIG9zNw%3D%3D, но когда всё настроил, страница хотспота не открывалась у пользователей, не могу понять почему.

Можете помочь, пожалуйста?
С уважением, Ахмед

papayeya

Guest

08.11.2024 14:01:00

Извиняюсь, что не получил уведомление или пропустил его, когда вы ответили на мой пост. Сейчас мой PCC и Hotspot работают нормально, но осталась одна проблема, которую я не могу решить. У меня есть:

1. 2 WAN (2 терминала Starlink, один из которых с сетью 192.168.1.0/24), настроенные с балансировкой нагрузки через PCC.
2. Hotspot с удалённым Radius-сервером для аутентификации Hotspot. Маршрутизатор Mikrotik подключён к Radius через VPN (VPN используется только для подключения Hotspot к удалённому Radius-серверу для аутентификации).

После настройки PCC, как только я подключаю второй WAN к Mikrotik, VPN падает. По сути, VPN работает корректно только если подключён один WAN.

Ниже конфигурация Mikrotik:

/interface bridge
add name=Hotspot

/interface ethernet
set [ find default-name=ether1 ] comment=WAN1 name=WAN1
set [ find default-name=ether2 ] comment=WAN2 name=WAN2

/ip hotspot profile
add dns-name=netvsat.hotspot hotspot-address=10.0.0.1 html-directory=hotspot3 login-by=cookie,http-chap,http-pap,mac-cookie name=hsprof1 radius-interim-update=2m use-radius=yes

/ip pool
add name=hs-pool-13 ranges=10.0.0.2-10.0.255.254

/ip dhcp-server
add address-pool=hs-pool-13 interface=Hotspot name=dhcp1

/ip hotspot
add address-pool=hs-pool-13 addresses-per-mac=1 disabled=no interface=Hotspot name=hotspot1 profile=hsprof1

/port set 0 name=serial0

/interface sstp-client
add authentication=mschap2 connect-to=185.155.X97.XX disabled=no keepalive-timeout=10 name=SSTP-TO-RADIUS profile=default-encryption user=RB-3011-Dalgo-PCC

/routing table
add disabled=no fib name=ISP1
add disabled=no fib name=ISP2

/interface bridge port
add bridge=Hotspot interface=ether3
add bridge=Hotspot interface=ether4
add bridge=Hotspot interface=ether5
add bridge=Hotspot interface=ether6
add bridge=Hotspot interface=ether7
add bridge=Hotspot interface=ether8
add bridge=Hotspot interface=ether9
add bridge=Hotspot interface=ether10

/ip neighbor discovery-settings
set discover-interface-list=!dynamic

/ip address
add address=10.0.0.1/16 interface=Hotspot network=10.0.0.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add add-default-route=no interface=WAN1
add interface=WAN2

/ip dhcp-server network
add address=10.0.0.0/16 comment=“hotspot network” gateway=10.0.0.1

/ip dns
set servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=“place hotspot rules here” disabled=yes

/ip firewall mangle
add action=change-ttl chain=postrouting new-ttl=set:1 out-interface=Hotspot passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new in-interface=WAN1 new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new in-interface=WAN2 new-connection-mark=ISP2_conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1_conn new-routing-mark=ISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2_conn new-routing-mark=ISP2 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local hotspot=auth in-interface=Hotspot new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=src-address-and-port:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local hotspot=auth in-interface=Hotspot new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=src-address-and-port:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_conn in-interface=Hotspot new-routing-mark=ISP1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2_conn in-interface=Hotspot new-routing-mark=ISP2 passthrough=yes

/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=“place hotspot rules here” disabled=yes
add action=masquerade chain=srcnat comment=“masquerade hotspot network” src-address=10.0.0.0/16

/ip hotspot user
add name=admin

/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5

/ip route
add disabled=no dst-address=192.168.200.0/24 gateway=192.168.200.1 routing-table=main suppress-hw-offload=no
add disabled=no distance=1 dst-address=192.168.10.0/24 gateway=192.168.200.1 pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no dst-address=0.0.0.0/0 gateway=WAN1 routing-table=ISP1 suppress-hw-offload=no
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WAN2 pref-src=“” routing-table=ISP2 scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=WAN2 pref-src=“” routing-table=main suppress-hw-offload=no
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WAN1 routing-table=main suppress-hw-offload=no
add disabled=no distance=1 dst-address=185.155.X97.XX/32 gateway=WAN2 routing-table=*402 scope=30 suppress-hw-offload=no target-scope=10

/radius
add address=192.168.200.253 disabled=yes require-message-auth=no service=hotspot src-address=192.168.200.186 timeout=3s
add address=192.168.10.242 require-message-auth=no service=hotspot src-address=192.168.200.186 timeout=3s

/radius incoming
set accept=yes port=1700

/system clock
set time-zone-name=Africa/Kigali

/system identity
set name=Mikrotik-Dalgo-PCC

/system note
set show-at-login=no

/system ntp client
set enabled=yes
servers add address=time.google.com
servers add address=time.windows.com

/system routerboard settings
set enter-setup-on=delete-key

Прикрепляю схему сценария.

Вопрос: Как настроить VPN-подключение к Radius-серверу, чтобы оно работало с PCC при использовании двух WAN?

anav

Guest

13.11.2024 01:44:00

Не совсем понимаю, но посмотрю… Ты отправляешь VPN-трафик на WAN1 или WAN2? Делал ли ты проброс портов на WAN1 или WAN2? Может, я неправильно понял, как ты используешь VPN?

/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:1 out-interface=Hotspot passthrough=yes
{ не понимаю, что это делает, но пока оставлю как есть }

{ четыре правила для трафика на ROUTER }
add action=mark-connection chain=input connection-mark=no-mark in-interface=WAN1 new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=input connection-mark=no-mark in-interface=WAN2 new-connection-mark=ISP2_conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1_conn new-routing-mark=ISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2_conn new-routing-mark=ISP2 passthrough=yes

{ четыре правила для pcc трафика }
add action=mark-connection chain=forward connection-mark=no-mark dst-address-type=!local hotspot=auth in-interface=Hotspot new-connection-mark=ISP1_pcc passthrough=yes per-connection-classifier=src-address-and-port:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local hotspot=auth in-interface=Hotspot new-connection-mark=ISP2_pcc passthrough=yes per-connection-classifier=src-address-and-port:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_pcc new-routing-mark=ISP1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2_pcc new-routing-mark=ISP2 passthrough=no

/ip firewall nat add action=masquerade chain=srcnat comment=“masquerade hotspot network” out-interface-list=WAN

К сожалению, твоя конфигурация неполная, нет правил фаервола и списков, так что тебе придётся сделать два правила — с out-interface=wan1 и out-interface=wan2.

Обсуждение:
Новые подключения не нужны, в правиле mark-routing не нужно указывать in-hotspot, так как это уже есть в mark-connection. Мне нравится использовать цепочку forward для mark-connection — так точнее. У меня вообще другое правило mark-connection, чтобы проще было отлаживать и логировать трафик, чтобы было понятно, какой трафик где.

Маршруты нужно доработать!!!
Мы не можем использовать gateway=interface в этих правилах, там нужны IP-шлюзы… Если они статические, ок, если динамические — надо скрипты для их обновления… Пока там заглушки, которые неправильные.

/ip route {главная таблица}
add check-gateway=ping distance=1 dst-address=0.0.0.0/0 gateway=WAN1 routing-table=main
add check-gateway=ping distance=2 dst-address=0.0.0.0/0 gateway=WAN2 routing-table=main

{специальные таблицы}
(check gateway=ping бессмысленен, в каждой таблице всего одна запись)
add dst-address=0.0.0.0/0 gateway=WAN1 routing-table=ISP1
add dst-address=0.0.0.0/0 gateway=WAN2 routing-table=ISP2

{не понимаю, для чего эти таблицы???}
add dst-address=192.168.200.0/24 gateway=192.168.200.1 routing-table=main
add dst-address=192.168.10.0/24 gateway=192.168.200.1 pref-src=“” routing-table=main
add dst-address=185.155.X97.XX/32 gateway=WAN2 routing-table=*

402 <— тут тоже ошибка!!!

papayeya

Guest

13.11.2024 22:33:00

Anav, спасибо за ответ. У меня точка доступа через терминал Starlink. Аутентификация происходит через удалённый Radius-сервер (в другой стране), поэтому мне нужно установить VPN-соединение между моим Mikrotik и Radius-сервером.

Первый Starlink — сейчас 192.168.1.1/24, подключён к Ether1: 192.168.1.2.
Второй Starlink — сейчас 192.168.2.1/24, подключён к Ether2: 192.168.2.1.
Ether3–Ether10 объединены в бридж для моей точки доступа, IP на бридже — 10.0.0.1/16.

Удалённый Radius-сервер — предположим, 38.242.235.250.
VPN-сервер для доступа к Radius — допустим, 38.242.235.249.
DHCP сервер VPN: 192.168.200.1.
Mikrotik получает 192.168.200.2 от удалённого VPN-сервера.

Планирую настроить PCC балансировку нагрузки + Hotspot + VPN, при этом VPN нужен только для аутентификации через Hotspot Radius.
Mikrotik — OS7, роутер RB-3011.

Я точно сделал то, что рекомендовано в официальном гиде по PCC для OS7 от Mikrotik, но без Hotspot, и добавил hotspot=auth в каждое правило PCC. Однако у мобильных пользователей появлялся восклицательный знак и сообщение «Connected, but no internet connection» — непонятно почему.
https://www.youtube.com/watch?v=nlb7XAv57tw

VPN можно пока не учитывать. Вопрос такой: как правильно применить PCC на OS7 вместе с Hotspot?

anav Guest	#5 0 13.11.2024 22:37:00 Пожалуйста, пришлите вашу последнюю конфигурацию.

ViralAdam

Guest

24.05.2025 15:37:00

Привет, я тоже пытаюсь настроить PCC на своём CCR2004. Но постоянно возникают проблемы с маршрутными таблицами. У меня все три Starlink настроены в обход, поэтому IP динамический, и даже если я вручную указываю шлюз в таблице маршрутизации, он всё равно отображается как неактивный. Если вдруг найдёшь решение, пожалуйста, поделись — это уже настоящий головняк.

anav Guest	#7 0 25.05.2025 20:48:00 С версией прошивки 7 нет необходимости в PCC для сопоставления пропускной способности WAN, ECMP работает так же хорошо и при этом гораздо проще в реализации.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры