Mikrotik — настройка Dual Wan c использованием IP Routes Rules

Автор:   ‡   Дата: 8th Февраль 2019   ‡   Рубрика: IT   ‡   Метки:

Роутер Mikrotik hex S RB760iGS В сети очень много описаний различных конфигураций настроек для двух провайдеров, но почему-то почти все они предлагают использовать маркировку маршрутов метками Mangle и слишком громоздки. Хочу предложить один из самых простых в настройке вариантов, для решения задачи, когда нужно реализовать всего-то две элементарных вещи :

 

  1. Выбор Wan порта по ip адресу источника
  2. Отказоустойчивость и резервирование с переключением

Никакую балансировку нагрузки на каналы делать не будем. Сброс в заводские, как нам некоторые авторы предлагают, тоже не делаем! Описывать подробно все настройки также не станем, поэтому очень кратко, но по сути. Итак, исходим из того, что у вас уже есть настроенная рабочая конфигурация под одного провайдера. Вам проверили второго, все порты заняты, возможно свободен SFP, но не суть важно. А вот что действительно важно, и о чем не везде пишут, - перестаем пользоваться закладкой  Quick set, отныне и навсегда, она может легко испортить все настройки! Порядок действий следующий:

  1.  Освобождаем один порт, удаляя его из Bridge. Если удаляем самый младший порт, то проверяем и сбрасываем MAC адрес самого моста, который изначально копирует MAC младшего порта.
  2. Если у провайдера DHCP, то запускаем на освобожденном интерфейсе DHCP client, отключив опцию Add default route. Если будет статика, то вручную прописываем адрес и маску в IP-Addresses
  3. Добавляем правило маскардинга на новом интерфейсе в IP-Firewall-NAT
  4. Идем в IP-Routes и прописываем три маршрута. Тот что был возможно динамическим для шлюза первого провайдера - удаляем. Рекурсивную маршрутизацию делать не будем, ограничимся проверкой шлюза, отметив опцию Check Gateway ping:

screenshot mikrotik ip route list

Как можете заметить на скриншоте, второму провайдеру добавляем метку "isp2", а также дополнительно дублируем его маршрут, без метки, но с увеличенной дистанцией. Это будет запасной маршрут, на случай когда отвалится первый провайдер.

5. Теперь, для тех ip адресов, которые хотим пустить по умолчанию через второго провайдера, добавляем правила в Rules:

screenshot mikrotik ip route rules

К сожалению, нельзя использовать диапазоны адресов, поэтому если нужно захватить всю подсеть, то делаем как на скриншоте - сперва прописываем исключения, включая сам роутер, которые пойдут через первого провайдера (таблица main), а нижним правилом указываем весь диапазон через маску, который пойдет через второго провайдера и пойдет только в случае доступности шлюза (действие lookup).

6. Ну и последнее. Заходим в IP-Settings и выставляем RP Filter в значение loose !

Стоит заметить, что если есть какие либо сервера, принимающие входящие подключения, то в данной конфигурации они должны по умолчанию выходить через первого провайдера isp1 (таблица main). Когда первый упадет, то подключения будут возможны через второго провайдера, но не одновременно через двух! Если необходимо одновременно, то придется дописать пару строк в IP-Firewall-Mangle для маркировки входящего трафика второго провайдера и отправки его на тот интерфейс с которого он пришел:

/ip firewall mangle

add action=mark-connection chain=input in-interface=ether2 new-connection-mark=inisp2

add action=mark-routing chain=output connection-mark=inisp2 new-routing-mark=isp2 passthrough=no

 


К записи 11 комментариев

and | 25 10 2019

спасибо, особенно за последний пункт, подскажите как сделать так чтобы еще и dst-nat правила работали одновременно через двух провайдеров, пробовал с метками но не получилось.
Dup | 01 11 2019

у меня dst-nat и без меток работает одновременно
Anton | 06 06 2020

Спасибо за статью! Единственное, что я нашел — кратко, по делу и без сброса всего подряд.
Ноо, я не понял одного момента — это п. 5.

У меня в такой конфигурации по умолчанию всё идёт через isp2, при наличии обоих рабочих WAN.
А как через первый-то заставить? Он ведь основной должен быть.

В правилах:
192.168.0.1 lookup main
192.168.0.0/24 lookup isp2

Делал полностью по инструкции, правда-правда)
Dup | 07 06 2020

Ну так 192.168.0.0/24 lookup isp2 это и есть все через isp2 🙂 Уберите это правило. В примере показано разделение.
Maxim | 18 06 2020

Здравствуйте. Спасибо за статью, всё работает, но непонятен момент «а также дополнительно дублируем его маршрут, без метки, но с увеличенной дистанцией. Это будет запасной маршрут, на случай когда отвалится первый провайдер». Как это работает?
Oleksii | 27 06 2020

Можно заказать небольшую консультацию? Куда Вам написать?
Dup | 28 06 2020

Telegram
Bronik | 03 10 2020

Здравствуйте. Подскажите, а возможно ли в принципе реализовать отказоустойчивый dual из static IP и PPTP? На одном физическом порту роутера.
Dup | 05 10 2020

Нет. Каким образом будет работать pptp, когда упадет статика ?
Bronik | 04 02 2021

Имеется ввиду, что статик всегда UP (локальная сеть провайдера), но может упасть интернет шлюз, на который перенаправляет трафик шлюз локального статика. Грубо говоря физическое соединение есть всегда, но инета на нем иногда нет. И в случае когда пинг на 8.8.8.8 (к примеру) пропадает, то инет-трафик начинает поступать через (постоянно) поднятый PPTP на другой узел в локалке провайдера.
Если объяснил слишком сумбурно, то спрошу так: могут ли сосуществовать 2 WAN на ОДНОМ физическом ether?
Dup | 05 02 2021

Конечно может быть более одного шлюза на одном порту, регулируется маршрутами.

Написать комментарий