🥅 🎗️ ⏱️ मिकरोटिक राउटरओएस पर मल्टीवन और रूटिंग 👨🏽‍🚀 🤙🏿 🌹

02/11/2020 के सुधार और परिवर्धन के साथ

परिचय

घमंड के अलावा, रूसी-बोलने वाले टेलीग्राम समुदाय के प्रासंगिक समूहों में इस विषय पर प्रश्नों की निराशाजनक आवृत्ति ने मुझे लेख लेने के लिए प्रेरित किया। यह लेख मिकरोटिक राउटरोस (इसके बाद आरओएस) के नौसिखिए प्रशासकों के उद्देश्य से है। यह केवल एक मल्टीवन पर विचार करता है, रूटिंग पर जोर देने के साथ। बोनस में सुरक्षित और सुविधाजनक संचालन सुनिश्चित करने के लिए न्यूनतम पर्याप्त सेटिंग्स शामिल हैं। जो लोग उन कतारों के प्रकटीकरण की तलाश कर रहे हैं, वे लोड संतुलन, वलान, पुल, चैनल की स्थिति का मल्टी-स्टेज इन-डेप्थ एनालिसिस और जैसे - समय और प्रयास पढ़ने में बर्बाद नहीं कर सकते

स्रोत डेटा

परीक्षण विषय के रूप में, आरओएस संस्करण 6.45+ के साथ पांच-पोर्ट मिकरोटिक राउटर का चयन किया गया था। यह दो स्थानीय क्षेत्र नेटवर्क (LAN1 और LAN2) और तीन प्रदाताओं (ISP1, ISP2, ISP3) के बीच यातायात का मार्ग प्रशस्त करेगा। ISP1 के चैनल का स्थिर "ग्रे" पता है, ISP2 DHCP के माध्यम से प्राप्त "सफेद" है, ISP3 PPPoE प्रमाणीकरण के साथ "सफेद" है। कनेक्शन आरेख चित्र में दिखाया गया है:

कार्य योजना के आधार पर MTK राउटर को कॉन्फ़िगर करना है ताकि:

बैकअप प्रदाता को स्वचालित स्विचिंग प्रदान करें। मुख्य प्रदाता आईएसपी 2 है, पहला रिजर्व आईएसपी 1 है, दूसरा रिजर्व आईएसपी 3 है।
केवल ISP1 के माध्यम से इंटरनेट तक LAN1 की पहुंच को व्यवस्थित करना।
पता-सूची के आधार पर चयनित प्रदाता के माध्यम से स्थानीय नेटवर्क से इंटरनेट तक ट्रैफ़िक को रूट करने की क्षमता प्रदान करें।
स्थानीय क्षेत्र नेटवर्क से इंटरनेट (DSTNAT) तक प्रकाशन सेवाओं की संभावना प्रदान करने के लिए
इंटरनेट से न्यूनतम पर्याप्त सुरक्षा प्रदान करने के लिए फ़ायरवॉल फ़िल्टर कॉन्फ़िगर करें।
राउटर चयनित स्रोत पते के आधार पर तीन प्रदाताओं में से किसी के माध्यम से अपना ट्रैफ़िक जारी कर सकता है।
जिस चैनल से वे आए थे, उस पर प्रतिक्रिया पैकेट को रूट करना (LAN सहित) प्रदान करें।

नोट। हम राउटर को "स्क्रैच से" कॉन्फ़िगर करेंगे ताकि यह सुनिश्चित हो सके कि संस्करण से संस्करण में बदलते हुए "बॉक्स से बाहर" शुरू होने वाले कॉन्फ़िगरेशन में कोई आश्चर्य नहीं है। Winbox को कॉन्फ़िगरेशन टूल के रूप में चुना गया था, जहां परिवर्तन नेत्रहीन प्रदर्शित किए जाएंगे। सेटिंग्स को स्वयं Winbox टर्मिनल में कमांड द्वारा सेट किया जाएगा। कॉन्फ़िगरेशन के लिए भौतिक कनेक्शन Ether5 इंटरफ़ेस से सीधे कनेक्शन के माध्यम से है।

एक बहुवचन क्या है, इसके बारे में थोड़ी चर्चा है कि क्या यह एक समस्या है या चालाक चालाक लोग चारों ओर साजिशों के नेटवर्क बुनते हैं

एक जिज्ञासु और चौकस प्रशासक, इस तरह की योजना को अपने दम पर स्थापित करता है, अचानक अचानक एहसास होता है कि यह सामान्य रूप से काम कर रहा है। हाँ, हाँ, इन कस्टम रूटिंग टेबल और अन्य रूट नियमों के बिना, जो इस विषय पर अधिकांश लेखों से भरे हुए हैं। इसकी जाँच करें?

क्या हम इंटरफेस और डिफ़ॉल्ट गेटवे पर एड्रेसिंग कॉन्फ़िगर कर सकते हैं? हाँ:

दूरी और 2 और चेक-गेटवे = पिंग के साथ पता और प्रवेश द्वार ISP1 पर पंजीकृत थे ।
ISP2 पर, क्लाइंट के लिए डिफ़ॉल्ट dhcp सेटिंग क्रमशः, एक के बराबर दूरी है।
ऐड-डिफॉल्ट-रूट = हां -डिफॉल्ट-रूट-डिस्टेंस = 3 के साथ क्लाइंट की pppoe सेटिंग्स में ISP3 पर।

आउटपुट के लिए NAT रजिस्टर करना न भूलें:

/ ip फ़ायरवॉल nat एक्शन जोड़ें = मस्काराड चेन = srcnat आउट-इंटरफ़ेस-लिस्ट = WAN

नतीजतन, LAN के उपयोगकर्ताओं ने मुख्य ISP2 प्रदाता के माध्यम से लोड किए गए मज़े को सील कर दिया है और चेक गेटवे तंत्र का उपयोग करके चैनल का आरक्षण है ^{। नोट 1 देखें}

कार्य के बिंदु 1 को लागू किया गया है। इसके टैग के साथ मल्टीवन कहां है? नहीं ...

इसके अलावा। आपको ISP1 के माध्यम से LAN से विशिष्ट क्लाइंट जारी करने की आवश्यकता है:

/ ip फ़ायरवॉल mangle क्रिया = मार्ग श्रृंखला = dst-address-list = को फिर से जोड़ना = BOGONS \!
passthrough = Yes path-dst = 100.66.66.1 src-address-list = Via_ISP1
/ ip फ़ायरवॉल mangle क्रिया = मार्ग श्रृंखला = dst-address-list = को फिर से जोड़ना = BOGONS \!
पश्श्रुत = कोई मार्ग-dst = 100.66.66.1 src- पता = 192.168.88.0 / 24

कार्य के आइटम 2 और 3 कार्यान्वित किए जाते हैं। टैग, टिकट, मार्ग नियम, आप कहां हैं!

इंटरनेट से क्लाइंट के लिए पते 172.17.17.17 के साथ अपने पसंदीदा ओपनवीपीएन सर्वर का उपयोग करने की आवश्यकता है? करें:

/ आईपी क्लाउड सेट ddns- सक्षम = हाँ

हम ग्राहकों को दावत के रूप में आउटपुट परिणाम देते हैं: " : [आईपी क्लाउड प्राप्त डीएनएस-नाम] "

हम इंटरनेट से पोर्ट फॉरवर्डिंग रजिस्टर करते हैं:

/ ip फ़ायरवॉल नेट ऐड एक्शन = dst-nat चेन = dstnat dst-port = 1194 \ n
in-interface-list = WAN प्रोटोकॉल = udp-address = 172.17.17.17

बिंदु 4 तैयार है।

हम बिंदु 5 के लिए एक फ़ायरवॉल और अन्य सुरक्षा स्थापित करते हैं, उसी समय हमें खुशी होती है कि सब कुछ उपयोगकर्ताओं के लिए काम कर रहा है और पसंदीदा पेय के साथ कंटेनर के लिए पहुंच रहा है ...
एक! सुरंगों को अभी भी भुला दिया गया है।

L2tp क्लाइंट को googled लेख के अनुसार कॉन्फ़िगर किया गया जो प्रिय डच VDS को मिला था? हां।
IP2ec गुलाब के साथ l2tp- सर्वर और IP क्लाउड से DNS नाम के क्लाइंट (ऊपर देखें)। हां।
वापस झुककर, पेय का एक घूंट लेते हुए, हम समस्या के 6 और 7 के मद की जांच करते हैं। हम सोचते हैं - क्या हमें इसकी आवश्यकता है? सब कुछ उसी तरह काम कर रहा है ... इसलिए यदि यह आवश्यक नहीं है, तो वह सब कुछ है। मल्टीवन लागू किया।

एक मल्टीवन क्या है? यह एक राउटर के लिए कई इंटरनेट चैनलों का कनेक्शन है।

आप लेख को आगे नहीं पढ़ सकते हैं, क्योंकि संदिग्ध प्रयोज्यता के प्रदर्शन के अलावा क्या हो सकता है?

उन लोगों के साथ, जो कार्य के अंक 6 और 7 में रुचि रखते हैं, और पूर्णतावाद की खुजली भी महसूस करते हैं, हम गहरा गोता लगाते हैं।

मल्टीवन को लागू करने का सबसे महत्वपूर्ण कार्य यातायात का सही मार्ग है। अर्थात्: चाहे (या कौन सा) ^{नोट 3 देखें,} प्रदाता का चैनल हमारे राउटर पर डिफ़ॉल्ट मार्ग को देखता है, इसे उस चैनल पर ठीक उत्तर देना चाहिए जिसमें से पैकेट आया था। कार्य स्पष्ट है। समस्या कहां है? वास्तव में, एक साधारण स्थानीय नेटवर्क में कार्य समान होता है, लेकिन कोई भी अतिरिक्त सेटिंग्स से परेशान नहीं होता है और परेशानी महसूस नहीं करता है। अंतर यह है कि इंटरनेट पर किसी भी रूट किए गए नोड को हमारे प्रत्येक चैनल के माध्यम से एक्सेस किया जा सकता है, न कि कड़ाई से विशिष्ट एक के माध्यम से, जैसे कि एक साधारण लैन में। लेकिन "परेशानी" यह है कि अगर हमें ISP3 के IP पते के लिए अनुरोध मिला है, तो हमारे मामले में उत्तर ISP2 चैनल से गुजरेगा, क्योंकि डिफ़ॉल्ट गेटवे वहां निर्देशित है। यह प्रदाता द्वारा गलत के रूप में छोड़ दिया जाएगा और छोड़ दिया जाएगा। हमने समस्या पर फैसला किया। इसे कैसे हल करें?

समाधान तीन चरणों में विभाजित है:

Presetting। इस स्तर पर, राउटर की मूल सेटिंग्स सेट की जाएंगी: स्थानीय नेटवर्क, फ़ायरवॉल, एड्रेस लिस्ट, हेयरपिन NAT आदि।
Multivan। इस स्तर पर, आवश्यक कनेक्शन को चिह्नित किया जाएगा और रूटिंग तालिकाओं के अनुसार हल किया जाएगा।
आईएसपी से संबंध। इस स्तर पर, इंटरनेट कनेक्शन प्रदान करने वाले इंटरफेस को कॉन्फ़िगर किया जाएगा, रूट किया जाएगा और इंटरनेट चैनलों के आरक्षण के लिए तंत्र शामिल होगा।

नोट। आईएसपी के तीन अलग-अलग प्रकारों को विशेष रूप से यह दिखाने के लिए चुना गया था कि डायनामिक पतों के साथ मल्टीवैन स्थापित करने में कोई अकल्पनीय नहीं है और समाधान विकल्पों में से एक को प्रदर्शित करता है।
महत्वपूर्ण! दूरी मार्गों की लागत का उपयोग करके निर्दिष्ट एल्गोरिदम के अनुसार चैनल स्विच करने के लिए, चेकवे गेटवे तंत्र का उपयोग किया जाता है । ^{नोट 1 देखें}
लेख में दी गई लिपियों का चैनल आरक्षण से कोई लेना-देना नहीं है।

1. प्रीसेट

1.1। हम कमांड के साथ राउटर कॉन्फ़िगरेशन को साफ़ करते हैं:

/system reset-configuration skip-backup=yes no-defaults=yes

" खतरनाक के साथ सहमत ! फिर भी रीसेट करें? [y / N]: “और, रिबूट करने के बाद, हम मैक के माध्यम से विनबॉक्स से जुड़ते हैं। इस स्तर पर, कॉन्फ़िगरेशन और उपयोगकर्ता आधार साफ़ हो जाता है।

1.2। एक नया उपयोगकर्ता बनाएँ:

 /user add group=full name=knight password=ultrasecret comment="Not horse"

इसके तहत लॉगिन करें और डिफ़ॉल्ट हटाएं:

 /user remove admin

नोट। यह हटाने और डिफ़ॉल्ट उपयोगकर्ता का वियोग नहीं है कि लेखक अधिक सुरक्षित समझता है और उपयोग के लिए सिफारिश करता है।

1.3। हम फ़ायरवॉल, खोज सेटिंग्स और अन्य मैक सर्वरों में संचालन की सुविधा के लिए बुनियादी इंटरफ़ेस सूचियाँ बनाते हैं:

 /interface list add name=WAN comment="For Internet" /interface list add name=LAN comment="For Local Area"

हम टिप्पणियों के साथ इंटरफेस पर हस्ताक्षर करते हैं

 /interface ethernet set ether1 comment="to ISP1" /interface ethernet set ether2 comment="to ISP2" /interface ethernet set ether3 comment="to ISP3" /interface ethernet set ether4 comment="to LAN1" /interface ethernet set ether5 comment="to LAN2"

और इंटरफ़ेस सूची भरें:

 /interface list member add interface=ether1 list=WAN comment=ISP1 /interface list member add interface=ether2 list=WAN comment=ISP2 /interface list member add interface=ether3 list=WAN comment="to ISP3" /interface list member add interface=ether4 list=LAN comment="LAN1" /interface list member add interface=ether5 list=LAN comment="LAN2"

नोट। स्पष्ट टिप्पणियां लिखना इस समय पर खर्च होने के लायक है, इससे समस्या निवारण और कॉन्फ़िगरेशन को समझने में बहुत सुविधा होती है।

लेखक इसे सुरक्षा कारणों से, इंटरफ़ेस सूची "WAN" में ईथर 3 इंटरफ़ेस जोड़ने के लिए, इस तथ्य के बावजूद कि आईपी प्रोटोकॉल इसके माध्यम से नहीं जाएगा, आवश्यक मानता है।

यह मत भूलो कि पीपीपी इंटरफ़ेस ईथर 3 पर उठाए जाने के बाद, इसे "WAN" इंटरफ़ेस सूची में भी जोड़ना होगा

1.4। हम मैक द्वारा प्रदाताओं के नेटवर्क से निकटता का पता लगाने और नियंत्रण से राउटर को छिपाते हैं:

 /ip neighbor discovery-settings set discover-interface-list=!WAN /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN

1.5। हम राउटर की सुरक्षा के लिए फ़ायरवॉल फ़िल्टर नियमों का एक न्यूनतम पर्याप्त सेट बनाते हैं:

 /ip firewall filter add action=accept chain=input \ comment="Related Established Untracked Allow" \ connection-state=established,related,untracked

(नियम स्थापित और संबंधित कनेक्शन के लिए अनुमति प्रदान करता है जो कनेक्टेड नेटवर्क से और राउटर द्वारा दोनों शुरू किए जाते हैं)

 /ip firewall filter add action=accept chain=input \ comment="ICMP from ALL" protocol=icmp

(पिंग और न केवल पिंग। सभी आईसीएमपी को प्रवेश करने की अनुमति है। यह एमटीयू के साथ समस्याओं को खोजने के लिए बहुत उपयोगी है)

 /ip firewall filter add action=drop chain=input comment="All other WAN Drop" \ in-interface-list=WAN

(इनपुट श्रृंखला को बंद करने वाला नियम इंटरनेट से आने वाली अन्य सभी चीज़ों को मना करता है)

 /ip firewall filter add action=accept chain=forward \ comment="Established, Related, Untracked allow" \ connection-state=established,related,untracked

(नियम राउटर से गुजरने वाले स्थापित और संबंधित कनेक्शन की अनुमति देता है)

 /ip firewall filter add action=drop chain=forward comment="Invalid drop" \ connection-state=invalid

(नियम कनेक्शन-राज्य = अमान्य, राउटर के माध्यम से गुजरने के साथ, कनेक्शन को गिरा देता है। यह मकारोटिक द्वारा अत्यधिक अनुशंसित है, लेकिन कुछ दुर्लभ स्थितियों में यह उपयोगी ट्रैफ़िक को रोक सकता है)

 /ip firewall filter add action=drop chain=forward \ comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN

(नियम इंटरनेट से जाने वाले पैकेट पर प्रतिबंध लगाता है और राउटर के माध्यम से dstnat प्रक्रिया से नहीं जाता है। यह स्थानीय नेटवर्क को घुसपैठियों से बचाएगा, जो हमारे बाहरी नेटवर्क के साथ एक ही प्रसारण डोमेन में हैं, हमारे बाहरी आईपी को एक प्रवेश द्वार के रूप में पंजीकृत करेंगे और, इस प्रकार, प्रयास करें। हमारे स्थानीय क्षेत्र नेटवर्क का "अन्वेषण" करें।

नोट। आइए हम मान लें कि LAN1 और LAN2 विश्वसनीय नेटवर्क हैं और उनके बीच और उनसे ट्रैफ़िक को फ़िल्टर नहीं किया जाता है।

1.6। गैर-रूटेबल नेटवर्क की सूची के साथ एक सूची बनाएँ:

 /ip firewall address-list add address=0.0.0.0/8 comment="\"This\" Network" list=BOGONS add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS add address=127.0.0.0/8 comment=Loopback list=BOGONS add address=169.254.0.0/16 comment="Link Local" list=BOGONS add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"\ list=BOGONS add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS add address=224.0.0.0/4 comment=Multicast list=BOGONS add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(यह उन पतों और नेटवर्कों की सूची है जो इंटरनेट पर रूट नहीं किए गए हैं और तदनुसार, हम इसका पालन भी करेंगे।)

नोट। सूची बदल सकती है, इसलिए मैं आपको समय-समय पर प्रासंगिकता की जांच करने की सलाह देता हूं।

1.7। राउटर के लिए DNS स्वयं कॉन्फ़िगर करें:

 /ip dns set servers=1.1.1.1,8.8.8.8

नोट। आरओएस के वर्तमान संस्करण में, गतिशील सर्वर सांख्यिकीय रूप से परिभाषित लोगों पर पूर्वता लेते हैं। एक नाम रिज़ॉल्यूशन अनुरोध सूची में पहले सर्वर को भेजा जाता है। अगले सर्वर पर संक्रमण तब होता है जब करंट अनुपलब्ध होता है। बिग टाइमआउट - 5 सेकंड से अधिक। "गिर गया सर्वर" फिर से शुरू होने पर वापस आना स्वचालित रूप से नहीं होता है। इस एल्गोरिथ्म और एक मल्टीवन की उपस्थिति को देखते हुए, लेखक प्रदाताओं द्वारा जारी किए गए सर्वर का उपयोग नहीं करने की सलाह देता है।

1.8। स्थानीय नेटवर्क कॉन्फ़िगर करें।
1.8.1। LAN इंटरफ़ेस पर स्थिर IP पते कॉन्फ़िगर करें:

 /ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP" /ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2। हम मुख्य मार्ग तालिका के माध्यम से अपने स्थानीय नेटवर्क के मार्गों के लिए नियम निर्धारित करते हैं:

 /ip route rule add dst-address=192.168.88.0/24 table=main comment="to LAN1" /ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

नोट। यह राउटर इंटरफेस के बाहरी आईपी पते के साथ स्थानीय नेटवर्क पते तक पहुंचने का सबसे आसान और तेज तरीका है, जिसके माध्यम से डिफ़ॉल्ट मार्ग नहीं जाता है।

1.8.3। यदि आवश्यक हो, LAN1 और LAN2 के लिए हेयरपिन NAT सक्षम करें:

 /ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" \ out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254 /ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" \ out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

नोट। यह LAN1 और LAN2 से उपयोगकर्ताओं को एक बाहरी आईपी (dstnat) के माध्यम से एक ही नेटवर्क सेगमेंट पर उपयोगकर्ताओं के साथ स्थित सर्वर तक पहुंचने की अनुमति देता है।

2. वास्तव में, सही बहुजनों का कार्यान्वयन

"जहां से उन्होंने पूछा," वहां से जवाब देने की समस्या को हल करने के लिए, हम दो आरओएस टूल का उपयोग करेंगे: कनेक्शन मार्क और रूटिंग मार्क । कनेक्शन चिह्न आपको वांछित कनेक्शन को चिह्नित करने की अनुमति देता है और रूटिंग मार्क को लागू करने के लिए इस लेबल के साथ काम करना जारी रखता है। और पहले से ही रूटिंग मार्क के साथ आईपी मार्ग और रूट नियमों में काम करना संभव है । हमने उपकरणों का पता लगाया, अब हमें यह तय करने की आवश्यकता है कि कौन से कनेक्शन को चिह्नित करना है - एक, जहां बिल्कुल चिह्नित करना है - दो।

पहले के साथ, सब कुछ सरल है - हमें उन सभी कनेक्शनों को चिह्नित करना चाहिए जो उपयुक्त चैनल के माध्यम से इंटरनेट से राउटर पर आते हैं। हमारे मामले में, ये तीन लेबल होंगे (चैनलों की संख्या के अनुसार): "con_isp1", "conn_isp2" और "conn_isp3"।

दूसरे के साथ बारीकियों यह है कि आने वाले कनेक्शन दो प्रकार के होंगे: पारगमन और जो राउटर के लिए अभिप्रेत हैं। कनेक्शन चिह्न तंत्र मैंगल तालिका में काम करता है। एक सरल आरेख पर पैकेज के आंदोलन पर विचार करें, कृपया संसाधन mikrotik-trainings.com (विज्ञापन नहीं) के विशेषज्ञों द्वारा एकत्र किया गया है:

तीर के बाद, हम देखते हैं कि " इनपुट इंटरफ़ेस " पर पहुंचने वाला पैकेट " प्रायरिंग " श्रृंखला से होकर गुजरता है और उसके बाद ही " रूटिंग निर्णय " ब्लॉक में पारगमन और स्थानीय में विभाजित होता है। इसलिए, एक पत्थर से दो पक्षियों को मारने के लिए, प्रैरिंग चेन की चूड़ी प्ररिंग टेबल में कनेक्शन मार्क का उपयोग करें।

रिमार्क । आरओएस में, "रूटिंग मार्क" लेबल को आईपी / रूट / नियम अनुभाग में "टेबल" के रूप में और शेष वर्गों में "रूटिंग मार्क" के रूप में दर्शाया गया है। यह समझने में कुछ भ्रम पैदा कर सकता है, लेकिन, वास्तव में, यह एक और एक ही है, और linux पर iproute2 में rt_tables का एनालॉग है।

2.1। हम प्रत्येक प्रदाता से आने वाले कनेक्शनों को चिह्नित करते हैं:

 /ip firewall mangle add action=mark-connection chain=prerouting \ comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1 \ new-connection-mark=conn_isp1 passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting \ comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2 \ new-connection-mark=conn_isp2 passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting \ comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3 \ new-connection-mark=conn_isp3 passthrough=no

नोट।
वे पाठक जो शाब्दिक रूप से और पढ़ने के क्रम में कोशिश करते हैं, लेख में सुझाई गई सेटिंग को दोहराते हैं, जब तीसरी कमांड में प्रवेश करते हैं, तो वे त्रुटि का सामना करेंगे: "इनपुट इंटरफ़ेस के किसी भी मूल्य से मेल नहीं खाता"। यह "pppoe-isp3" इंटरफ़ेस की अनुपस्थिति के कारण है, जिसे अनुभाग 3.3.2 में कॉन्फ़िगर किया जाएगा। इस बिंदु पर, आप "pppoe-isp3" के बजाय "ether3" दर्ज कर सकते हैं। पैराग्राफ 3.3.2 पूरा करने के बाद, आपको वापस जाना चाहिए और इंटरफ़ेस का वर्तमान नाम रखना चाहिए।

पहले से चिह्नित कनेक्शनों को चिह्नित नहीं करने के लिए, मैं कनेक्शन-राज्य = नए के बजाय कंडीशन कनेक्शन-मार्क = नो-मार्क का उपयोग करता हूं।

passthrough = no - क्योंकि इस कार्यान्वयन विधि में, पुनः अंकन को बाहर रखा गया है, और तेजी के लिए आप पहले मैच के बाद नियमों की गणना में बाधा डाल सकते हैं।

यह ध्यान में रखा जाना चाहिए कि हम अभी भी रूटिंग में हस्तक्षेप नहीं करते हैं। अब केवल तैयारी के चरण हैं। कार्यान्वयन का अगला चरण पारगमन यातायात का प्रसंस्करण होगा, जिसे स्थानीय नेटवर्क में पता करने वाले से स्थिर कनेक्शन के माध्यम से लौटाया जाता है। यानी वे पैकेट जो (आरेख देखें) रास्ते में राउटर से गुजरे:

"इनपुट इंटरफ़ेस" => "पूर्व-निर्धारण" => "रूटिंग निर्णय" => "फॉरवर्ड" => "पोस्ट रूटिंग" => "आउटपुट इंटरफ़ेस" और स्थानीय नेटवर्क पर अपने गंतव्य के लिए मिला।

महत्वपूर्ण! आरओएस में बाहरी और आंतरिक इंटरफेस में कोई तार्किक विभाजन नहीं है। यदि हम नीचे दिए गए आरेख में प्रतिक्रिया पैकेट का मार्ग ट्रेस करते हैं, तो यह अनुरोध के अनुसार उसी तार्किक पथ का अनुसरण करेगा:

"इनपुट इंटरफ़ेस" => "पूर्व-निर्धारण" => "रूटिंग निर्णय" => "फॉरवर्ड" => "पोस्ट रूटिंग" => "आउटपुट इंटरफ़ेस" केवल अनुरोध के लिए " इनपुट इंटरफ़ेस " एक आईएसपी इंटरफ़ेस था, और उत्तर के लिए यह LAN था।

2.2। हम संबंधित राउटिंग टेबल पर वापसी पारगमन यातायात को निर्देशित करते हैं:

 /ip firewall mangle add action=mark-routing chain=prerouting \ comment="Routemark transit out via ISP1" connection-mark=conn_isp1 \ dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no /ip firewall mangle add action=mark-routing chain=prerouting \ comment="Routemark transit out via ISP2" connection-mark=conn_isp2 \ dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no /ip firewall mangle add action=mark-routing chain=prerouting \ comment="Routemark transit out via ISP3" connection-mark=conn_isp3 \ dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

नोट। इन-इंटरफ़ेस-लिस्ट =! WAN - हम केवल राउटर के इंटरफ़ेस पतों के डेस्टिनेशन एड्रेस के बिना लोकल नेटवर्क और dst-address-type- लोकल से ट्रैफिक के साथ काम करते हैं।

रास्ते में राउटर के लिए आए स्थानीय पैकेट के लिए भी यही है:

"इनपुट इंटरफ़ेस" => "पूर्व-निर्धारण" => "रूटिंग निर्णय" => "इनपुट" => "स्थानीय प्रक्रिया"

महत्वपूर्ण! उत्तर निम्नलिखित पथ पर जाएगा:

"स्थानीय प्रक्रिया" => "रूटिंग निर्णय" => "आउटपुट" => "पोस्ट रूटिंग" => "आउटपुट इंटरफ़ेस"

2.3। हम संबंधित रूटिंग तालिकाओं के लिए स्थानीय ट्रैफ़िक को प्रतिसाद देते हैं:

 /ip firewall mangle add action=mark-routing chain=output \ comment="Routemark local out via ISP1" connection-mark=conn_isp1 \ dst-address-type=!local new-routing-mark=to_isp1 passthrough=no /ip firewall mangle add action=mark-routing chain=output \ comment="Routemark local out via ISP2" connection-mark=conn_isp2 \ dst-address-type=!local new-routing-mark=to_isp2 passthrough=no /ip firewall mangle add action=mark-routing chain=output \ comment="Routemark local out via ISP3" connection-mark=conn_isp3 \ dst-address-type=!local new-routing-mark=to_isp3 passthrough=no

इस स्तर पर, इंटरनेट चैनल से एक प्रतिक्रिया भेजने की तैयारी करने का कार्य जिसमें से अनुरोध आया था, को हल किया जा सकता है। सब कुछ चिह्नित, चिह्नित और मार्ग के लिए तैयार है।
इस कॉन्फ़िगरेशन का एक उत्कृष्ट "साइड" प्रभाव एक ही समय में दोनों (ISP2, ISP3) प्रदाताओं से DSNAT पोर्ट को अग्रेषित करने की क्षमता है। बिल्कुल नहीं, क्योंकि ISP1 पर हमारे पास एक रूटेबल एड्रेस नहीं है। यह प्रभाव महत्वपूर्ण है, उदाहरण के लिए, दो एमएक्स के साथ एक मेल सर्वर के लिए जो विभिन्न इंटरनेट चैनलों को देखता है।

बाहरी आईपी रूटर्स के साथ काम करने वाले स्थानीय नेटवर्क की बारीकियों को खत्म करने के लिए, हम पैराग्राफ से समाधान का उपयोग करते हैं। 1.8.2 और 3.1.2.6।

इसके अलावा, आप टूल का उपयोग चिह्नों के साथ और समस्या के पैराग्राफ 3 को हल करने के लिए कर सकते हैं। हम इसे इस तरह लागू करते हैं:

2.4। हम स्थानीय क्लाइंट्स को राउटिंग लिस्ट से लेकर संबंधित टेबलों तक ट्रैफिक को निर्देशित करते हैं:

 /ip firewall mangle add action=mark-routing chain=prerouting \ comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 \ passthrough=no src-address-list=Via_ISP1 /ip firewall mangle add action=mark-routing chain=prerouting \ comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 \ passthrough=no src-address-list=Via_ISP2 /ip firewall mangle add action=mark-routing chain=prerouting \ comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 \ passthrough=no src-address-list=Via_ISP3

नतीजतन, यह कुछ इस तरह दिखता है (चित्र क्लिक करने योग्य है):

3. आईएसपी कनेक्टिविटी को कॉन्फ़िगर करें और ब्रांड-आधारित रूटिंग को सक्षम करें

3.1। कनेक्शन को ISP1 में कॉन्फ़िगर करें:
3.1.1। स्थिर IP पता कॉन्फ़िगर करें:

 /ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2। स्थिर रूटिंग कॉन्फ़िगर करें:
3.1.2.1। डिफ़ॉल्ट आपातकालीन मार्ग जोड़ें:

 /ip route add comment="Emergency route" distance=254 type=blackhole

नोट। यह मार्ग किसी भी प्रदाता के चैनलों की स्थिति की परवाह किए बिना मार्ग निर्णय चरण से गुजरने के लिए स्थानीय प्रक्रियाओं से यातायात की अनुमति देता है। आउटगोइंग लोकल ट्रैफ़िक की बारीकियाँ यह है कि पैकेट को कम से कम कहीं ले जाने के लिए, डिफ़ॉल्ट गेटवे के लिए सक्रिय मार्ग मुख्य मार्ग तालिका में मौजूद होना चाहिए। यदि नहीं, तो पैकेज बस नष्ट हो जाएगा।

चैनल की स्थिति के गहन विश्लेषण के लिए चेक गेटवे टूल के विस्तार के रूप में, मैं पुनरावर्ती मार्ग विधि का उपयोग करने का प्रस्ताव करता हूं। विधि का सार यह है कि हम राउटर को सीधे उसके प्रवेश द्वार के लिए नहीं, बल्कि एक मध्यवर्ती प्रवेश द्वार के रास्ते की खोज करने के लिए कहते हैं। जैसे कि "परीक्षण" गेटवे, 4.2.2.1, 4.2.2.2 और 4.2.2.3 को क्रमशः ISP1, ISP2 और ISP3 के लिए चुना जाएगा।

3.1.2.2। "सत्यापन" पते का रूट:

 /ip route add check-gateway=ping comment="For recursion via ISP1" \ distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

नोट। पुनरावर्ती गेटवे के रूप में 4.2.2.1 का उपयोग करने के लिए, आरओएस लक्ष्य दायरे में डिफ़ॉल्ट मान को घटाया जाता है। मैं जोर देता हूं: "सत्यापन" पते के लिए मार्ग का दायरा उस मार्ग के लक्ष्य दायरे से कम या बराबर होना चाहिए जो सत्यापन को संदर्भित करेगा।

3.1.2.3। बिना रूटिंग मार्क के ट्रैफ़िक के लिए डिफ़ॉल्ट पुनरावर्ती मार्ग:

 /ip route add check-gateway=ping comment="Unmarked via ISP1" \ distance=2 gateway=4.2.2.1

नोट। दूरी = 2 मान का उपयोग किया जाता है क्योंकि ISP1 को कार्य की शर्तों के तहत पहला स्टैंडबाय घोषित किया गया है।

3.1.2.4। रूटिंग मार्क "to_isp1" के साथ ट्रैफ़िक के लिए डिफ़ॉल्ट पुनरावर्ती मार्ग:

 /ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 \ routing-mark=to_isp1

नोट। दरअसल, यहां हम अंत में तैयारी के काम का उपयोग करना शुरू कर रहे हैं जो पैराग्राफ 2 में किया गया था।

इस मार्ग पर, सभी ट्रैफ़िक जिनमें मार्क रूट "to_isp1" है, को पहले प्रदाता के गेटवे पर निर्देशित किया जाएगा, जिसकी परवाह किए बिना मुख्य टेबल के लिए डिफ़ॉल्ट गेटवे वर्तमान में सक्रिय है।

3.1.2.5। ISP2 और ISP3 प्रदाताओं से लेबल किए गए ट्रैफ़िक के लिए पहला फ़ॉलबैक डिफ़ॉल्ट पुनरावर्ती मार्ग:

 /ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 \ routing-mark=to_isp2 /ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 \ routing-mark=to_isp3

नोट। स्थानीय नेटवर्क से ट्रैफ़िक आरक्षित करने के लिए इन मार्गों की भी आवश्यकता होती है, जो पता सूची "to_isp *" के सदस्य हैं।

3.1.2.6। हम ISP1 के माध्यम से इंटरनेट पर स्थानीय राउटर ट्रैफ़िक के लिए मार्ग लिखते हैं:

 /ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

नोट। क्लॉज 1.8.2 से नियमों के संयोजन में, दिए गए स्रोत के साथ वांछित चैनल से बाहर निकलने की सुविधा दी गई है। यह सुरंगों के निर्माण के लिए महत्वपूर्ण है जिसमें स्थानीय पक्ष का आईपी पता (ईओआईपी, आईपी-आईपी, जीआरई) निर्दिष्ट है। चूंकि आईपी मार्ग नियमों में नियमों को ऊपर से नीचे तक निष्पादित किया जाता है, जब तक कि पहली बार स्थितियां मेल नहीं खातीं, यह नियम खंड 1.8.2 में नियमों के बाद होना चाहिए।

3.1.3। हम आउटगोइंग ट्रैफ़िक के लिए NAT नियम लिखते हैं:

 /ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1" \ ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

नोट। NAT वह सब कुछ है जो चला जाता है, सिवाय इसके कि यह IPsec नीतियों में आता है। मैं कार्रवाई का उपयोग नहीं करने की कोशिश करता हूं = जब तक बिल्कुल जरूरी न हो। यह src-nat की तुलना में धीमा और अधिक गहन है क्योंकि यह प्रत्येक नए कनेक्शन के लिए NAT के लिए एक पते की गणना करता है।

3.1.4। हम ग्राहकों को उस सूची से भेजते हैं, जिन्हें अन्य प्रदाताओं के माध्यम से सीधे ISP1 प्रदाता गेटवे से बाहर निकलने से मना किया जाता है।

 /ip firewall mangle add action=route chain=prerouting \ comment="Address List via ISP1 only" dst-address-list=!BOGONS passthrough=no \ route-dst=100.66.66.1 src-address-list=Via_only_ISP1 place-before=0

नोट। कार्रवाई = मार्ग की उच्च प्राथमिकता है और इसे अन्य रूटिंग नियमों से पहले लागू किया जाता है।

जगह-पहले = 0 - हमारे नियम को सूची में पहले स्थान पर रखता है।

3.2। हम ISP2 से कनेक्शन कॉन्फ़िगर करते हैं।

चूंकि ISP2 प्रदाता हमें डीएचसीपी के माध्यम से सेटिंग्स देता है, इसलिए डीएचसीपी क्लाइंट ट्रिगर होने पर शुरू होने वाली स्क्रिप्ट के साथ आवश्यक परिवर्तन करना उचित है:

 /ip dhcp-client add add-default-route=no disabled=no interface=ether2 script=":if (\$bound=1) do={\r\ \n /ip route remove [ find gateway=\"4.2.2.2\" ]; /ip route remove \ [ find where dst-address ~\"4.2.2.2\" ]\r\ \n /ip route add check-gateway=ping comment=\"For recursion via ISP2\" \ distance=1 dst-address=4.2.2.2/32 gateway=\$\"gateway-address\" scope=10\r\ \n /ip route add check-gateway=ping comment=\"Unmarked via ISP2\" \ distance=1 gateway=4.2.2.2\r\ \n /ip route add comment=\"Marked via ISP2 Main\" distance=1 gateway=4.2.2.2 \ routing-mark=to_isp2\r\ \n /ip route add comment=\"Marked via ISP1 Backup1\" distance=2 \ gateway=4.2.2.2 routing-mark=to_isp1\r\ \n /ip route add comment=\"Marked via ISP3 Backup2\" distance=3 \ gateway=4.2.2.2 routing-mark=to_isp3\r\ \n /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none \ out-interface=\$\"interface\" to-addresses=\$\"lease-address\" \ comment=\"NAT via ISP2\"\r\ \n /ip route rule add comment=\"From ISP2 IP to Inet\" \ src-address=\$\"lease-address\" table=to_isp2 \r\ \n} else={\r\ \n /ip route remove [ find gateway=\"4.2.2.2\" ]; /ip route remove \ [ find where dst-address ~\"4.2.2.2\" ]\r\ \n /ip firewall nat remove [find comment=\"NAT via ISP2\"]\r\ \n /ip route rule remove [find comment=\"From ISP2 IP to Inet\"]\r\ \n}\r\ \n" use-peer-dns=no use-peer-ntp=no

Winbox विंडो में ही स्क्रिप्ट (क्लिक करने योग्य):

नोट। स्क्रिप्ट का पहला भाग ट्रिगर हो जाता है जब पट्टे को सफलतापूर्वक प्राप्त किया जाता है, दूसरा - पट्टे जारी होने के बाद। ^{नोट 2 देखें}

3.3। हम ISP3 प्रदाता से कनेक्शन कॉन्फ़िगर करते हैं।

चूंकि कॉन्फ़िगरेशन प्रदाता हमें गतिशील देता है, इसलिए लिपियों के साथ आवश्यक परिवर्तन करना उचित है जो उदय के बाद और पीपीपी इंटरफ़ेस के पतन के बाद शुरू होता है।

नोट। पीपीपी इंटरफ़ेस को आईपी पते के बजाय गेटवे के रूप में निर्दिष्ट किया जा सकता है। हालाँकि, इस स्थिति में, पुनरावर्ती मार्ग सक्रिय नहीं किया जा सकता है। इसलिए, हमें प्रदाता का आईपी पता वैरिएबल में मिलता है और इसे अन्य प्रदाताओं की तरह ही आगे उपयोग करते हैं

3.3.1। सबसे पहले, प्रोफ़ाइल को कॉन्फ़िगर करें:

 /ppp profile add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client \ on-down="/ip route remove [ find gateway=\"4.2.2.3\" ]\r\ \n/ip route remove [ find where dst-address ~\"4.2.2.3\" ]\r\ \n/ip firewall nat remove [find comment=\"NAT via ISP3\"]\r\ \n/ip route rule remove [find comment=\"From ISP3 IP to Inet\"]" \ on-up="/ip route remove [ find gateway=\"4.2.2.3\" ]; /ip route remove \ [ find where dst-address ~\"4.2.2.3\" ]\r\ \n/ip route add check-gateway=ping comment=\"For recursion via ISP3\" distance=1 \ dst-address=4.2.2.3/32 gateway=\$\"remote-address\" scope=10\r\ \n/ip route add check-gateway=ping comment=\"Unmarked via ISP3\" distance=3 \ gateway=4.2.2.3\r\ \n/ip route add comment=\"Marked via ISP3 Main\" distance=1 gateway=4.2.2.3 \ routing-mark=to_isp3\r\ \n/ip route add comment=\"Marked via ISP1 Backup2\" distance=3 gateway=4.2.2.3 \ routing-mark=to_isp1\r\ \n/ip route add comment=\"Marked via ISP2 Backup2\" distance=3 gateway=4.2.2.3 \ routing-mark=to_isp2\r\ \n/ip firewall mangle set [find comment=\"Connmark in from ISP3\"] \ in-interface=\$\"interface\"\r\ \n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none \ out-interface=\$\"interface\" to-addresses=\$\"local-address\" \ comment=\"NAT via ISP3\"\r\ \n/ip route rule add comment=\"From ISP3 IP to Inet\" \ src-address=\$\"local-address\" table=to_isp3 "

Winbox विंडो में ही स्क्रिप्ट (क्लिक करने योग्य):

नोट। पंक्ति
/ आईपी फ़ायरवॉल मैंग सेट सेट [टिप्पणी पाएं = "ISP3 से कनेक्ट करें"] इन-इंटरफ़ेस = $ "इंटरफ़ेस";
आपको इंटरफ़ेस के नाम को सही ढंग से संसाधित करने की अनुमति देता है, क्योंकि यह अपने कोड के साथ काम करता है न कि प्रदर्शन नाम।

3.3.2। अब, प्रोफ़ाइल का उपयोग करते हुए, एक पीपीपी कनेक्शन बनाएं:

 /interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no \ interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client \ user=isp3_client

नोट। कुछ प्रदाता "रिमोट-एड्रेस" पैरामीटर देने के लिए "भूल जाते हैं"। इस स्थिति में, कनेक्ट होने पर, कॉन्फ़िगरेशन स्क्रिप्ट सही ढंग से काम नहीं करेगी, और लॉग में आपको निम्न त्रुटि दिखाई देगी:
pppoe, ppp, जानकारी pppoe-isp3: xxx.xxx.xxx.xxx
इस समस्या को हल करने के लिए, आपको मैन्युअल रूप से ppp प्रोफ़ाइल (किसी भी डमी) में पता सेट करने की आवश्यकता है:

 /ppp profile set isp3_client remote-address=169.254.69.96

पंक्ति
/ ip फ़ायरवॉल mangle सेट [टिप्पणी पाएं = "ISP3 से कनेक्ट"] इन-इंटरफ़ेस = $ "इंटरफ़ेस";
आपको इंटरफ़ेस के नाम को सही ढंग से संसाधित करने की अनुमति देता है, क्योंकि यह अपने कोड के साथ काम करता है न कि प्रदर्शन नाम।

अंतिम स्पर्श के रूप में, घड़ी सेट करें:

 /system ntp client set enabled=yes \ server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

उन लोगों के लिए जो अंत तक पढ़ते हैं

मल्टीवैन को लागू करने के लिए प्रस्तावित विधि लेखक की व्यक्तिगत पसंद है और यह एकमात्र संभव नहीं है। आरओएस टूलकिट व्यापक और लचीला है, जो एक तरफ शुरुआती लोगों के लिए कठिनाइयों का कारण बनता है, दूसरे पर - लोकप्रियता का कारण। अन्वेषण, प्रयास, नए उपकरण और समाधान खोजें। उदाहरण के लिए, प्राप्त ज्ञान के एक आवेदन के रूप में, मल्टीवैन के इस कार्यान्वयन में संभव है कि नेटवॉच के साथ पुनरावर्ती मार्गों के साथ चेक-गेटवे टूल को बदल दिया जाए ।

नोट

Check-gateway — , . 10 , . , 20-30 . — Netwatch , .
Check-gateway .

! , . check-gateway=ping .
ऐसा होता है कि डीएचईपीपी ऑपरेशन तंत्र में एक विफलता होती है, जो एक नवीनीकृत अवस्था में लटके हुए ग्राहक की तरह दिखती है। इस स्थिति में, स्क्रिप्ट का दूसरा भाग काम नहीं करेगा, लेकिन यह ट्रैफ़िक को सही ढंग से चलने के लिए नुकसान नहीं पहुंचाएगा, क्योंकि राज्य इसी पुनरावर्ती मार्ग की निगरानी करता है।
ECMP (समान लागत बहु-पथ) - ROS में कई गेटवे और समान दूरी वाले मार्ग को निर्दिष्ट करने की क्षमता है। इस मामले में, कनेक्शन को राउंड रॉबिन एल्गोरिथ्म का उपयोग करके चैनलों पर वितरित किया जाएगा, निर्दिष्ट गेटवे की संख्या के अनुपात में।

लेख लिखने के लिए प्रेरणा के लिए, इसकी संरचना को आकार देने और जोर देने में मदद करें - यूजीन @ जस्कर को व्यक्तिगत धन्यवाद

मिकरोटिक राउटरओएस पर मल्टीवन और रूटिंग