Мы уже рассматривали вариант подключения двух провайдеров Интернет к одному маршрутизатору, под управлением операционной системы Mikrotik RouterOS. Однако, это был самый простой вариант. Который не всегда может подойти в тех или иных условиях. Поэтому сегодня, мы возьмем ряд конкретных примеров настройки маршрутизатора с условием подключения к двум провайдерам, и более подробно остановимся на некоторых нюансах настройки Firewall, NAT, маршрутизации и балансировки нагрузки или использования второго канала в качестве резервного.
И так как дальнейший рассказ будет с конкретными примерами, то и начнем его с конкретных условий. У нас есть 2 провайдера. Связь с обоими устанавливается посредством протокола PPPoE. Как настроить соединение с провайдером, подробно описано в этой статье, поэтому этот процесс мы пропустим. Обозначив лишь то, что провайдер №1 у нас подключен к порту Ether1, и имя его PPPoE подключения - ISP1. Провайдер №2, подключен к порту Ether2 и имеет имя PPPoE подключения - ISP2.
Единственный момент, это то, что мы в дальнейшем, будем самостоятельно создавать правила маршрутизации, поэтому при создании подключений к провайдерам, необходимо убрать галочку с пункта Add Default Route на вкладке Dial Out для PPPoE соединения.
NAT
Чтобы наша сеть правильно работала и имела доступ в интернет, нам необходимо настроить NAT. Для этого открываем раздел IP -> Firewall, переходим на вкладку NAT и кнопкой “+”, добавляем новое правило.
На вкладке General, цепучку Chain выбираем scrnat. Значение поля Out. Interface, в данном случае, мы оставляем не заполненным, так как у нас два провайдера, и соответственно 2 разных интерфейса.
Затем на вкладке Action, в качестве параметра для поля Action, ставим значение masquerade.
Сохраняем правило кнопкой OK. Настройку NAT, можно считать законченной.
Firewall
Следующий наш шаг, это настройка функции Firewall, которая призвана защитить нашу локальную сеть.
Переходим на вкладку Filter Rules, где нам предстоит создать ряд основных правил, согласно которым, будет организованно прохождение пакетов через наш маршрутизатор.
Если у вас есть в этом разделе какие либо правила, то их следует сперва удалить.
Новые правила, можно добавлять нажатием кнопки “+”, после чего, например для правила разрешающего ping - chain=input protocol=icmp action=accept, на вкладке General, мы выбираем цепочку Chain - input, а протокол Protocol - icmp.
После чего, на вкладке Action, в качестве параметра для поля Action, выбираем acept.
Это действие, необходимо повторить порядка 14 раз, для четырнадцати разных правил.
Разрешаем Ping
chain=input protocol=icmp action=accept
chain=forward protocol=icmp action=accept
Разрешаем установленные соединения
chain=input connection-state=established action=accept
chain=forward connection-state=established action=accept
Разрешаем родственные соединения
chain=input connection-state=related action=accept
chain=forward connection-state=related action=accept
Запрещаем не удачные соединения
chain=input connection-state=invalid action=drop
chain=forward connection-state=invalid action=drop
Разрешаем соединения по протоколу UDP
chain=input protocol=udp action=accept
chain=forward protocol=udp action=accept
Открываем доступ в Интернет для нашей локальной сети. Для тех, у кого префикс локальной сети, отличается от 192.168.0.0/24, поставить вместо этого, свои адрес.
chain=forward src-address=192.168.0.0/24 action=accept
Разрешаем доступ к роутеру, только из локальной сети, как и выше - 192.168.0.0/24 стоит заменить своим адресом.
chain=input src-address=192.168.0.0/24 action=accept
И в конце, запрещаем все остальное
chain=input action=drop
chain=forward action=drop
Понятное дело, что открывать каждый раз новое окно, и заполнять все необходимые поля, это довольно утомительно, поэтому, я рекомендую открыть New Terminal и по одной задать команды перечисленные ниже. Это займет гораздо меньше времени.
ip firewall filter add chain=input protocol=icmp action=accept
ip firewall filter add chain=forward protocol=icmp action=accept
ip firewall filter add chain=input connection-state=established action=accept
ip firewall filter add chain=forward connection-state=established action=accept
ip firewall filter add chain=input connection-state=related action=accept
ip firewall filter add chain=forward connection-state=related action=accept
ip firewall filter add chain=input connection-state=invalid action=drop
ip firewall filter add chain=forward connection-state=invalid action=drop
ip firewall filter add chain=input protocol=udp action=accept
ip firewall filter add chain=forward protocol=udp action=accept
ip firewall filter add chain=forward src-address=192.168.0.0/24 action=accept
ip firewall filter add chain=input src-address=192.168.0.0/24 action=accept
ip firewall filter add chain=input action=drop
ip firewall filter add chain=forward action=drop
Но каким бы методом, мы это не делали, в итоге, мы должны получить следующее.
Routing
Последним, но одним из самых важных действий, осталось создание маршрутов. Начнем с того, что пометим наши соединения с провайдером. Это необходимо для того, чтобы все пришедшие на интерфейс того или иного провайдера запросы, уходили именно на его интерфейс. Это довольно критично в том случае, если у нас за NAT, есть какие либо ресурсы, к которым необходимо обеспечить доступ из глобальной сети Интернет. Например web-сервер или почтовый сервер и т.д. О том как организовать работу таких сервисов, мы уже рассматривали в статье Расширенные настройки Mikrotik RouterOS: перенаправление портов - dstnat.
Для этого, нам необходимо создать два отдельных правила, для каждого провайдера в разделе IP -> Firewall на вкладке Mangle.
На вкладке General, выбираем цепочку Chain как forward, а в качестве In.Interface выбираем интерфейс PPPoE подключения первого провайдера ISP1.
А на вкладке Action, в качестве параметра Action, выбираем mark connection и в появившемся ниже поле New Connection Mark, вписываем имя метки для этого соединения, например ISP1-con.
То же самое, повторяем для второго провайдера. Только в качестве In.Interface выбираем ISP2, а в поле New Connection Mark, вписываем метку для второго соединения ISP2-con.
Теперь, чтобы отправить ответ на пришедший запрос через интерфейс того же провайдера, нам необходимо создать еще 2 правила, которые будут помечать маршруты.
Здесь же, создаем новое правило в котором в качестве цепочки Chain, выбираем значение prerouting, в поле Scr.Address вписываем префикс нашей локальной сети 192.168.0.0/24, а Cjnnection Mark выбираем метку соединения нашего первого провайдера ISP1-con.
Переходим на вкладку Action и в поле Action, выбираем mark routing, а в появившемся ниже поле New Routing Mark, присваиваем метку для маршрута этого провайдера, например ISP1-rt.
Точно такое же привило, создаем и для второго соединения. Только, соответственно, в качестве Connection Mark выбираем ISP2-con, а в качестве New Routing Mark, вписываем ISP2-rt.
И теперь, если у нас есть какие либо ресурсы, доступ к которым необходимо обеспечить исключительно через интерфейс того или иного провайдера, нам нужно создать список этих ресурсов и пометить все соединения с адресами из этого списка, для дальнейшей правильной маршрутизации.
Например у провайдера №2 - ISP2 есть локальные ресурсы имеющие диапазон адресов 181.132.84.0/22. А через провайдера №1, пинг к игровым серверам онлайн игр, гораздо меньше. И мы знаем что IP адреса этих серверов 90.231.6.37 и 142.0.93.168.
Переходим на вкладку Address Lists раздела IP -> Firewall. И по одному добавляем эти IP адреса или подсети целиком, с именами to-ISP1 или to-ISP2, в зависимости от того, через какого провайдера должно быть обращение к этим ресурсам.
И так как большинство провайдеров используют собственные DNS сервера, доступ к которым зачастую запрещен из других сетей, то в эти списки, крайне важным будет добавить и адреса DNS серверов каждого из провайдеров, для того чтобы запросы доменных имен уходили на них именно через интерфейс конкретного провайдера.
Узнать DNS адреса не сложно, например у самого провайдера на сайте в разделе по настройке оборудования.
В итоге, мы должны иметь ряд адресов для каждого из списков
Для того чтобы пометить маршруты для этих списков, возвращаемся на вкладку Mangle., где создаем еще 2 правила. Для ISP1 и списка to-ISP1, правило будет выглядеть так: на вкладке General, Chain - prerouting, Connection State - new.
На вкладке Advanced, Dst.Address List - наш список адресов для первого провайдера to-ISP1.
А на вкладке Action, Action - mark routing, New Routing Mark - ISP1-rt.
Повторяем тоже самое, для списка адресов второго провайдера. Но соответственно в качестве Dst.Address List, указываем список адресов для второго провайдера to-ISP2. А в качестве метки для маршрута New Routing Mark - ISP2-rt.
И приступаем к самой основной части настройки маршрутизации - созданию статических правил маршрутизации в разделе IP -> Routes.
Здесь, на вкладке Routes, создаем новый маршрут.
Если каналы наших обоих провайдеров, практически равны, то добавляем вот такой маршрут: но вкладке General, окна создания маршрута, для Dst.Address пишем 0.0.0.0/0, а в качестве Getway выбираем интерфейсы наших провайдеров ISP1 и ISP2. Все остальные параметры, оставляем без изменений.
В таком варианте, нагрузка на обоих провайдеров, будет распределяться равномерно.
Если же мы хотим сделать так, что бы второй провайдер у нас был запасным, и “включался” только в случае, когда не доступен или сильно загружен первый, то создаем два маршрута.
Первый Dst.Address - 0.0.0.0/0, Gateway - ISP1.
А второй Dst.Address - 0.0.0.0/0, Gateway - ISP2, Distance - 2.
И еще, необходимо создать два отдельных маршрута, для каждого из провайдеров, куда будут уходить помеченные нами ранее маршруты. Отличатся они будут тем, что в поле Routing Mark будет указана метка, которую мы присваивали ранее, для того или иного провайдера.
Первый будет иметь Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, а второй, соответственно Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt
Теперь работа с двумя провайдерами, настроена должным образом. Все входящие соединения помечаются и ответы на них уходят через тот интерфейс, на который пришел запрос. Обращения к тем или иным ресурсам, распределены, и нагрузка на оба канала - сбалансирована.
Алексей С., специально для LanMarket
Sofetec 
Furukawa 
Grandway 
FiFix 
STELS 
Cor-X 
V-Solution 
Ubiquiti Networks 
D-Link 
Mikrotik 
TP-Link 
Edge-core 
BDCOM 
Interline 
Jirous 
RF elements 
Ok-net 
Hortex 
Cambium Networks 
Tenda 
ZTE 
Huawei 
Ripley 
Fujikura 
Inno Instrument 
DVP 
RCI 
Jilong 
Южкабель 
Одескабель 
Netis 
FiberField 
Totolink 
Grandstream 
Yokogawa 
Mimosa 
OpenVox 
Hikvision 
Keenetic 
Ютекс 
Signal Fire 
Utepo 
Dahua 
ONV 
Prolum 
ATcom 
Ritar 
Zyxel 
Ruijie 
APC 
Fibaro 
Merlion 
Mercusys 
MULTITEST
Авторизуйтесь, чтобы добавить отзыв