пятница, 30 октября 2015 г.

Доступ в Mikrotik по двум и более WAN одновременно.

На нашем устройстве два или более провайдера интернет(WAN). Нам нужно что-бы наше устройство было доступно и с одного и с другого внешнего IP провайдеров одновременно.
[admin@mikrotik] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=mark-connection new-connection-mark=ISP 1 -> Input passthrough=no dst-address=172.25.25.247 in-interface=ether1
1 chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no connection-mark=ISP 1 -> Input
2 chain=input action=mark-connection new-connection-mark=ISP 2 -> Input passthrough=no dst-address=192.168.99.2 in-interface=ether2
3 chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no connection-mark=ISP 2 -> Input
4 chain=input action=mark-connection new-connection-mark=ISP 3 -> Input passthrough=no dst-address=192.168.100.2 in-interface=ether3
5 chain=output action=mark-routing new-routing-mark=ISP 3 passthrough=no connection-mark=ISP 3 -> Input
  Правило 0
  Если в пакете пришедшем на первый интерфейс (ISP 1) в адресе назначения указан IP адрес 172.25.25.247(ISP 1, ip от провайдера), то маркируем соединение именем (ISP 1 -> Input)
  Правило 1
  Если исходящий пакет принадлежит соединению с маркировкой (ISP 1 -> Input), то для него используем маршрут ISP 1
  Тем самым маршрутизатор знает, что если его (пингуют или любой входящий трафик) с провайдера ISP 1, то ответ вернёт он через провайдера ISP 1

  Соответственно нужно создать нужные нам маршруты:
add comment=ISP1_mark distance=1 gateway=192.168.111.1 routing-mark=ISP 1
add comment=ISP2_mark distance=1 gateway=82.117.240.1 routing-mark=ISP 2
где  gateway - шлюз по-умолчанию вашего провайдера.

Подписаться на новые статьи.

6 комментариев:

  1. Спасибо, Жень, пригодилось =) Сам я не додумался, как это рализовать..
    Единственное, у меня динамический адрес, по которому я хочу лазить на МТ, посему написал такой скрипт для обновления адреса в правиле:

    :global utip [ip address get [/ip address find interface=utppoe] address ];
    :global mangleip [ip firewall mangle get [/ip firewall mangle find comment="utel_input" ] dst-address ];

    #:log info ("$utip")
    #:log info ("$mangleip" )

    :if ($utip = $mangleip ) do={ :log info ("ip in rule is OK" ) } else={ ip firewall mangle set [/ip firewall mangle find comment="utel_input"] dst-address=$utip ; :log info ("RENEWING COMPLETE" )}

    ОтветитьУдалить
    Ответы
    1. была у нас дискуссия по этому поводу, но тогда мы пришли к выводу что основной шлюз у роутера может быть только один, про маркировку не подумали...

      Удалить
  2. Доброе время суток всем.
    Я решаю подобные вопросы абсолютно без маркировки.
    Считаю, что если есть возможность не писать правила в пакетный фильтр, раздувая его по любому поводу, то нужно пользоваться такой возможностью.
    В основной массе статей, которые мне доводилось читать на просторах интернета, прослеживается общая закономерность: "если Вы хотите организовать сетевое взаимодействие микротика с чем-либо, нужно всё тщательно промаркировать".
    А на самом деле это не так.
    Да и когда роутер обрастает кучей правил маркировки, потом приходится вспоминать: что, откуда и куда.
    Мне нравится запихивать каждого провайдера в отдельную таблицу маршрутизации.
    Думаю так оно правильнее.
    И естественно микрот доступен одновременно через каждый канал.

    ОтветитьУдалить
    Ответы
    1. Можете подсказать(привести пример) как правильно сделать?)

      Удалить
  3. У меня простая ситуация 2 вана, хочу сделать доступ сразу к двум.

    ОтветитьУдалить
  4. Доброго дня! может не много не в тему. никто не подскажет как реализовать вот такую ситуацию. дано: на роутере 1 wan проводной, и LTE модем. WAN необходимо использовать только для ipsec с удаленным офисом, а LTE для выхода в инет пользователей.

    ОтветитьУдалить