Настройка нескольких интернет-провайдеров

Ты не спрашивал об этом в своем вопросе, но для вдохновения, пожалуйста, прочитай, проанализируй и применяй это: балансировка нагрузки на основе пропускной способности с резервированием. Эта презентация также охватывает Mangle. Она была представлена на MUM (Встреча пользователей MikroTik) в Новом Орлеане, США. Tomas Kirnak - YouTube: https://www.youtube.com/watch?v=67Dna_ffCvc&t=1s http://mum.mikrotik.com/presentations/US12/tomas.pdf Это очень хороший способ настроить "MultiWAN", но также отлично для изучения трафика на нескольких интерфейсах. Для меня это следующий шаг, который тебе нужно сделать. Даже если твой LTE не имеет PublicIP и ты не получаешь трафик с LTE, всё равно способ настройки охватывает множество аспектов. Способ отправки трафика в интернет можно осуществить через Route>Rules; Firewall>Mangle rule via script’s…; PCC; ручное изменение; Route Distance… даже это всего лишь способ отправки трафика в веб, и вышеуказанный материал дает больше. Но у меня по-прежнему нет подключения к интернету. Любая помощь, которую ты можешь предоставить, будет оценена! Я пропустил чтение этой части. Я импортирую твою настройку и отредактирую этот пост. Пожалуйста, подожди. Я все еще работаю над твоим проектом, и мне нужно добавить ВМ как клиентов обеих твоих LAN. Смотри: Что касается твоей конфигурации, эта часть плоха: /ip dhcp-client add dhcp-options=clientid,hostname disabled=no interface=ether1-lte use-peer-dns=no add dhcp-options=clientid,hostname disabled=no interface=ether2-dsl use-peer-dns=no Это означает, что оба имеют значение distans default=1, и ни один из них не активен. Тебе нужно на одном из них добавить это: default-route-distance=2, что означает: /ip dhcp-client add default-route-distance=2 dhcp-options=hostname,clientid disabled=no interface=ether1-lte add dhcp-options=hostname,clientid disabled=no interface=ether2-dsl. Ты настраиваешь DHCP-сервер вручную, а не из WinBox? Я не вижу записи сети DHCP. Мастер DHCP-сервера также работает из CLI: /ip dhcp-server setup /ip dhcp-server network> add address=10.0.1.0/24 gateway=10.0.1.1 dns-server=1.1.1.1 /ip dhcp-server network> add address=10.0.3.0/24 gateway=10.0.3.1 dns-server=1.1.1.1. Далее, у тебя есть ПК за маршрутизатором, тебе нужно NAT, что означает SNAT, чтобы скрыть свой ПК в интернете и поделиться интернетом с ним. /ip firewall nat add out-interface-list=WAN chain=srcnat action=masquerade. После этой коррекции твоей настройки мои GNS3 VPCS имеют доступ к интернету: один по LTE, второй по DSL — проверено с помощью tracert. Наконец, я смог настроить тестовую лабораторию дома, где смог поработать над этой конфигурацией. Я рекомендую установить GNS3 VM по моей инструкции: https://gns3.com/community/discussion/gns3-with-workstation-player-15- → От Марчина Пжысова, 19 октября 2019. На всех MikroTik в GNS3 я могу войти через WinBox, используя RoMON — очень полезно. Надеюсь, я помог тебе с твоей настройкой. Удачи!

IP>Маршруты проверяют nexthop каждые 10 секунд, а после 20 секунд — это максимальное время для изменения маршрута. Если ваше соединение не является интерфейсом lte1, что означает, что шлюз имеет IP-адрес, тогда вы можете использовать простой способ, например: https://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting, но помните, что каждая проверка основывается на ICMP, и одноименное падение (когда кто-то делает speedtest в вашей локальной сети) может изменить вашу топологию. Золотой подход — использовать несколько проверочных скриптов, которые выполняют действия после нескольких тестов. Надеюсь, я добавил вам немного информации. В вашем посте есть информация и вопрос, но я не знаю, какой из них самый важный. С уважением, Марцин

JordanReich Верно. RB может их пинговать, но зачем? Потому что RB использует основную таблицу маршрутов и цепочку фильтров брандмауэра = output. Исходные адреса принадлежат самому MikroTik. Какой IP? В Пинге можно использовать дополнительные параметры, такие как: ping 1.1.1.1 src-address=(один из IP, который вы видите в колонке pref.Source) ping 1.1.1.1 routing-table=(RouteTable–DSL или RouteTable–LTE), или использовать src-address и routing-table вместе. Поэкспериментируйте с ними и повысьте уровень понимания этого вопроса. Однако, когда я пингую их с одного из компьютеров между несколькими ISP, я не получаю ответа. Я довольно уверен, что это связано с тем, что ВСЕ ДАННЫЕ с ETH3/ETH4 теперь направляются в конкретную RouteTable и игнорируют другие местоположения. Как я могу учесть эти маршруты, чтобы несколько ISP продолжали работать, а также упомянутые выше адреса? Это можно сделать несколькими способами, и для вас лучше воспользоваться простым обходным решением. Пример. Добавьте маршрут к 10.0.0.0/24 и 10.0.2.0/24 в дополнительную RouteTable–[LTE или/и DSL] = RT’s. Таким образом, каждая RT сможет получать трафик, дублируя статический маршрут в другие RT, что является обходным решением, и в условиях производства с множеством VPN это ужасная идея, но для вас это наилучший вариант . В WinBox есть отличная кнопка с названием "Копировать", и таким образом вы просто выбираете RT, нажимаете OK и повторяете это несколько раз. Установите исключение в текущем IP > Route > Правила, чтобы трафик из ether3/4 к "10.0.0.0/24 и/или 10.0.2.0/24" не попадал в эти дополнительные RT, а оставался в RT=MAIN. И исключение должно быть выше вашего правила MultiWan. Необходимы несколько правил. В производственной среде такая конфигурация редка, потому что Mangle Firewall лучше подходит для больших сетей, но для вас это идеально. Выберите одно и поэкспериментируйте с этим. Удачи.

Пока вы не хотите использовать публичный IP на LTE и осуществлять двойной DNAT через оба провайдера, пока вы не хотите направлять сессии через оба провайдера одновременно, такая конфигурация будет 3S = простая + статичная + стабильная. Помните, что следующий уровень MultiWAN — это нагрузочный баланс на основе пропускной способности с резервированием. Эта презентация также охватывает Mangle. Она была представлена на MUM (Встреча пользователей MikroTik) в Новом Орлеане, США. Tomas Kirnak - YouTube: > https://www.youtube.com/watch?v=67Dna_ffCvc&t=1s http://mum.mikrotik.com/presentations/US12/tomas.pdf С уважением, Марцин Прзысова

Вы не сделали домашнее задание: В Ping вы можете использовать дополнительные параметры, например: ping 1.1.1.1 src-address=(один из IP-адресов, который вы видите в столбце pref.Source) ping 1.1.1.1 routing-table=(RouteTable–DSL или RouteTable–LTE) или использовать одновременно src-address и routing-table. Поиграйте с ними и достигните следующего уровня понимания. Это значит, что в MikroTik CLI вы должны указать ИСТОЧНИК, который будет представлять ваш компьютер в локальной сети, использующий Route>Rules. ПК в локальной сети используют R>Rules, которые предоставляют им отдельные RouteTable–A/B, и в внутреннем PING от MikroTik вы тоже должны указать это, чтобы смоделировать трафик вашего ПК. ping 10.0.3.1 src-address=10.0.0.1 routing-table=“RouteTable–DSL” Это ответ или нет, потому что вы задали большой вопрос.

Проверьте ответ #9 и картинку к нему о Pref.Source. Одно из многих решений — создать в основной таблице маршрутов новый классический маршрут и сказать: # Когда у вас есть только один PublicIP от вашего интернет-провайдера, просто сделайте маршрут до вашего VPN-сервера через правильный шлюз (ISP). /ip route add dst-address=1.1.1.1 gateway=[192.168.8.1|lte1] disabled=yes; # Когда у вас есть несколько PublicIP от вашего интернет-провайдера, то Pref.Source может выбрать, какой из них будет использоваться. На DSL вы можете получить несколько из них. /ip route add dst-address=1.1.1.1 gateway=[192.168.8.1|lte1] pref-src=192.168.8.100 disabled=yes; где: 1.1.1.1 — это IP вашего основного маршрутизатора, который является вашим VPN-шлюзом/сервером/хостом/главным офисом/центром обработки данных/виртуальным сервером 192.168.8.1 или lte1 — это шлюз LTE-устройств 192.168.8.100 — это ваш IP, который вы получаете и видите в /ip address в интерфейсе lte. Другой способ — использовать маршрутизационные правила для MikroTik, такие как: к 1.1.1.1 использовать RouteTable–LTE. Еще один способ — использовать Firewall Mangle на выходе и выполнить действие к 1.1.1.1, пометив маршрут в RouteTable–LTE. Другой вариант — хм, идеи нет . Шутка. Вы всегда можете иметь 2xWAN в каждом филиале, 2xWAN в главном офисе и 2xWAN в дополнительном центре обработки данных и создать VPN-сетку с OSPF. Надеюсь, эти методы будут вам полезны. Попробуйте с первым, классическим маршрутом.

Вы должны создать граф, потому что трудно понять, в чем у вас проблема на этот раз. Я звоню с внешнего IP-адреса, давайте назовем его 1.1.1.1. Он попадает на мой основной маршрутизатор 2.2.2.2, который является сервером L2TP/IPSEC, и затем NAT'ит этот трафик на порт 8083 на адрес вторичного узла, в данном случае 10.0.3.40. На самом деле, я всегда игнорировал то предложение, которое вы пишете про 1.1.1.1 и затем 2.2.2.2, но в сети мы говорим От/К или Src/Dst и через этот Хост/Порт… Я подтвердил с помощью Wireshark, что пакеты доходят до сервера. Если я нахожусь внутри своей сети, скажем, на 10.0.0.53 и не снаружи, то это работает без каких-либо проблем. Но весь внешний трафик приводит к времени ожидания 404. Если мы говорим, что локальный ПК не может открыть веб-страницу с веб-сервера, который находится в той же локальной сети, то вам следует настроить правило HairPinNat. Если мы говорим о том, что трафик из интернета до вашего VPN-сервера достигает вашего локального хоста, то, конечно, его ответ будет отправлен через основную таблицу маршрутизации напрямую в интернет, а не возвращаться через VPN. Это необходимо исправить с помощью следующих правил. Я отследил свою попытку внешнего соединения, и оно, на самом деле, достигает 10.0.3.40, так как я получаю множество TCP-передач, за которыми следует сброс соединения. Похоже, что трафик, который отправляется обратно, не возвращается по линии, которая запрашивала страницу в первую очередь, а пытается напрямую соединиться с внешним адресом 1.1.1.1. Я предполагаю, что это происходит потому, что правила маршрутизации говорят, что все, что на LTE-эт ethernet порту, проходит через LTE-ISP-соединение. Как мне перенаправить возвратный трафик обратно через VPN вместо того, чтобы снова выходить в интернет? Предполагая, что мое предположение верно. Вот это вопрос. Вам просто нужно установить правильный цвет на пакет, поступающий через VPN, и задать правило, что пакет с определенным цветом должен вернуться тем же путем. Окрашивание означает маркировку — это добавление ярлыка, как в живописи. Шаг) Окрасьте и отметьте некоторый трафик, все сессии, поступающие через VPN. Сессии мы называем соединением, которые состоят из пакетов. Знаете... женщины говорят о соединениях, а мужчины о пакетах, или, может быть, наоборот — это так сложно сказать . Мы должны выбрать только пакет о пиве — это наша цель. /ip firewall mangle add chain=prerouting protocol=tcp in-interface=l2tp-some-vpn1 connection-mark=no-mark dst-address=10.20.30.1 dst-port=22,8291 action=mark-connection new-connection-mark="MyFavoriteIncommingTraffic" passthrough=yes # входящий tcp-трафик через VPN-интерфейс, который ещё не маркирован и идет на мой IP на VPN-сервере на порт ssh/winbox, будет маркирован как MyFavoriteIncommingTraffic. Шаг 2) Когда маршрутизатор получает ответ=возвращающийся соединение/пакет от локального хоста, который имеет нашу метку=марку=цвет на нем, то мы отправляем этот трафик по правильной таблице маршрутов — VPN. Да, следующее /ip firewall mangle add chain=prerouting connection-mark="MyFavoriteIncommingTraffic" in-interface="bridge1-servers-with-dnat_DMZ" action=mark-routing new-routing-mark=RouteTable--VPN passthrough=yes # Трафик из LAN с маркировкой MyFavoriteIncommingTraffic будет отправлен через отдельную таблицу маршрутов RouteTable--VPN, и таким образом пакет вернется с того места, откуда я надеюсь, что это правильный ответ.

Зачем? На каком устройстве и с каким количеством WAN/VPN интерфейсов? У тебя есть какие-то устройства, а я не в курсе, на каком ты настроил какую конфигурацию. На случайном компьютере в интернете, если я зайду на > https://johndoe.com:8083 > … Трафик из интернета. Этот трафик попадает на мой основной роутер MikroTik. Трафик из интернета идет на основной роутер. Затем NAT перенаправляет этот порт на 10.0.3.40, который расположен в другом месте и подключен через VPN. Трафик из интернета попадает на основной роутер и его DNAT передает на следующий роутер 10.0.3.40 через VPN, который их соединяет. На месте с 10.0.3.40 я настроил следующее на роутере… Но байты/пакеты остаются 0, когда я набираю адрес в интернете вне сети. Не уверен, правильно ли я всё настроил? Я не знаю, что ты настроил на этом "следующем роутере" и сколько у него WAN интерфейсов. Вся предыдущая информация актуальна, когда ты вводишь трафик через основного провайдера и любые другие интерфейсы (ISP/VPN) не имеют входящего трафика. Тогда: Сначала проверь в Tool>Torch на VPN интерфейсе, есть ли входящий трафик. Затем проверь Firewall>Connections, и если на этом 8083 порту есть TCP соединение, ты должен увидеть один из статусов TCP рукопожатия, что даст понять, пакет только получает или отправляет назад. Проверь здесь 4 столбца с Reply Src/Dst Address, чтобы убедиться, что твой SNAT не изменяет IP и какой статус у этого правила. Далее - Tool/Sniffer с фильтром на 8083 порт и трекинг интерфейсов с Rx/Tx, что даст информацию о том, какой интерфейс является входящим, а какой - исходящим. Если у тебя больше одного ISP/VPN, тогда тебе стоит поработать с этим инструментом. В конце концов, возможно, ты видишь 0 пакетов, потому что поставил опцию соответствия для фильтров и/или тебе стоит попробовать input chain и/или #17 - это ответ, которого ты ждал. В нормальном сценарии ты должен маркировать трафик в chain=input и отправлять этот маркированный трафик в Route-Table–VPN через Mangle chain=output, как я указал в #17. Я не знаю, зачем ты пытаешься маркировать этот трафик и что с ним делать. Сколько у тебя маршрутов? Похоже, ты не прочитал мой предыдущий ответ и снова задаешь тот же вопрос.