/ip firewall mangle
add action=mark-routing chain=output new-routing-mark=isp1_route passthrough=yes src-address=10.0.0.2
add action=mark-routing chain=output new-routing-mark=isp2_route passthrough=yes src-address=10.0.1.2
Вот за это Вам действительно спасибо большое. Не могли раньше сказать, ведь спрашивал не один раз ...
Хотя (для Vlad-2) в Вашей схеме манглов это учитывается вроде как через интерфейс-листы (если туда добавить не только интерфейсы WAN, то и VPN-интерфейсы), тогда эти вышеуказанные правила со scr-adresses становятся не нужными, Ваши output цепочки и так отправляют VPN-соединения в нужные ISP.
Несколько ISP и туннели.
-
Sertik
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
-
u3max
- Сообщения: 26
- Зарегистрирован: 10 дек 2014, 07:58
Фууух, справился. До 01:30 ночи сегодня перенастроил всю филиальную сеть, пакеты бегают, между некоторыми точками по 4 тунеля (по 2 канала на каждой)vqd писал(а): ↑23 янв 2019, 13:47Этими правилами вы говорите микротику что бы для routing-mark=isp1_route все шло ТОЛЬКО через table=isp1_route и даже если эта таблица станет неактивна то в main он не перейдет.
В разрезе данного случая пригодится когда 1 канал отвалится и тоннель упадет, а не будет пытаться через main соединиться вызывая выше описанный хаос
В GRE когда поставили галчку IPSec он сам создал пир и полиси в ip - ipsec Так что да это можно назвать шифрованием
по балансировке не понял вопроса.
Сейчас каналы используются неравноценно. Вячеслав, гуру Вы наш, как лучше накрутить балансировку сейчас на эту схему и более эффективно использовать несколько ISP на точке? Как бы Вы порекомендовали сделать?
Спасибо и привет из Красноярска
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
)) Я там вырос и учился в полетехе ))
А что вы от балансировки то хотите? Вы хотите внешний трафик распределить по каналам или агрегировать ГРЕ тоннели?
Есть интересная задача и бюджет? http://mikrotik.site
-
u3max
- Сообщения: 26
- Зарегистрирован: 10 дек 2014, 07:58
Я тоже учился в политехе, а родился в Новосибирске в районе речвокзала :))
От ГРЕ требуется только RDP, нагрузка мизерная на них, резервирование.
2 канала, один на 30мБит, другой на 80, хочется использовать на все 110.
Я так понимаю правильней ECMP использовать. Как правильно это сделать, на нашем примере?
#промаркируем весь траффик из локальной сети
/ip firewall mangle add src-address=192.168.0.0/24 action=mark-routing chain=prerouting new-routing-mark=mixed
#используем ECMP для балансировки траффика из локальной сети
/ip route add dst-address=0.0.0.0/0 gateway=ISP1,ISP2 routing-mark=mixed
Как-то не так...
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
у не. ECPM это хлам дикий, имеет право на жизнь но лично у меня ничего не приходит на ум как его использование на те же ВПН тоннели до некого ВДС с единой точкой выхода в сеть. Абсолютно не поворотливая штука но и простая за что ее любят всякого рода эникейщики и копи/пасте
PCC - могучий инструмент. Позволяет внедрять кучу схем агрегации. Вы с помощью PCС можете допустим для одной группы пользователей настроить одну схему, для другой другую. Это актуально т.к. при использовании любого типа агрегации начинаются проблемы с ресурсами с повышенными требованиями к безопасности. Например те же Интернет банки. Так вот с PCC вы довольно легко это все обойти можете
Да блин на PCC можно даже агрегировать потоки по типу трафика
PCC - могучий инструмент. Позволяет внедрять кучу схем агрегации. Вы с помощью PCС можете допустим для одной группы пользователей настроить одну схему, для другой другую. Это актуально т.к. при использовании любого типа агрегации начинаются проблемы с ресурсами с повышенными требованиями к безопасности. Например те же Интернет банки. Так вот с PCC вы довольно легко это все обойти можете
Да блин на PCC можно даже агрегировать потоки по типу трафика
Есть интересная задача и бюджет? http://mikrotik.site
-
u3max
- Сообщения: 26
- Зарегистрирован: 10 дек 2014, 07:58
Понятно, спасибо большое, пошёл курить в сторону PCC!
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1)
Вячеслав, а что посоветуете, когда туннели (обычные или тот же GRE) нужны,
но при динамических адресациях?
Скрипты только? Выдёргивать адресацию, менять параметры туннелей,
вставлять туда и поднимать ?
2)
И второй момент, (я его кстати озвучивал), как выходить из ситуации,
когда у меня на стороне А два канала и два туннеля,
а на другой стороне(Б) один канал, но надо два эти туннеля привести,
как в этой ситуации быть?
(почти реальный пример = у меня каналы обычные, а другая сторона(Б)
это сервер в ЦОДе (или тот же VPS) там где каналы ну просто супер-пупер,
и поэтому хотелось понять как сделать два туннеля, но с одной стороны
один канал(поток).
Вячеслав, а что посоветуете, когда туннели (обычные или тот же GRE) нужны,
но при динамических адресациях?
Скрипты только? Выдёргивать адресацию, менять параметры туннелей,
вставлять туда и поднимать ?
2)
И второй момент, (я его кстати озвучивал), как выходить из ситуации,
когда у меня на стороне А два канала и два туннеля,
а на другой стороне(Б) один канал, но надо два эти туннеля привести,
как в этой ситуации быть?
(почти реальный пример = у меня каналы обычные, а другая сторона(Б)
это сервер в ЦОДе (или тот же VPS) там где каналы ну просто супер-пупер,
и поэтому хотелось понять как сделать два туннеля, но с одной стороны
один канал(поток).
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
1 - ну да. скрипт легко решит данную проблему
2 - так в моем же примере и описывается случай когда в точке А - 1 канал, а в точке Б - 2 канала
2 - так в моем же примере и описывается случай когда в точке А - 1 канал, а в точке Б - 2 канала
Есть интересная задача и бюджет? http://mikrotik.site
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ой, сорри, вчера нюанс не заметил, полез код анализировать....
-
u3max
- Сообщения: 26
- Зарегистрирован: 10 дек 2014, 07:58
Настроил PPC, промаркировал маршруты для серверов телефонии, банков и т.п, всё хорошо работает, но есть несколько вопросов.
Если один провайдер со скорость 80 мБит, другой 10, то:
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:9/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:9/1
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:9/2
....................................................................................................................................................................................................................
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:9/8
Правильно?
Для PPC мы делаем(нашёл пример) :
#используя PPC разделим трафик на две группы по исх. адресу и порту
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1
#добавим default gateway в каждую из промаркированных для LAN трафика таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=lan_out_ISP1 check-gateway=ping
/ip route add distance=1 gateway=10.200.1.254 routing-mark=lan_out_ISP2 check-gateway=ping
#failover через второго провайдера для каждого из шлюзов
/ip route add distance=2 gateway=10.200.1.254 routing-mark=lan_out_ISP1
/ip route add distance=2 gateway=10.100.1.254 routing-mark=lan_out_ISP2
По примеру есть два вопроса. Зачем failover с указанием шлюза, не принадлежащему к этому routing-mark?
Когда мы используем с distance 1 два маршрута(routing-mark) на один gateway, как себя должны маршруты вести?
Ну т.е один
#добавим default gateway в каждую из промаркированных таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping --- Это маркировка трафика при использовании 2х провайдеров
а второй
#добавим default gateway в каждую из промаркированных таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping --- Это PPC
Если один провайдер со скорость 80 мБит, другой 10, то:
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:9/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:9/1
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:9/2
....................................................................................................................................................................................................................
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:9/8
Правильно?
Для PPC мы делаем(нашёл пример) :
#используя PPC разделим трафик на две группы по исх. адресу и порту
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1
#добавим default gateway в каждую из промаркированных для LAN трафика таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=lan_out_ISP1 check-gateway=ping
/ip route add distance=1 gateway=10.200.1.254 routing-mark=lan_out_ISP2 check-gateway=ping
#failover через второго провайдера для каждого из шлюзов
/ip route add distance=2 gateway=10.200.1.254 routing-mark=lan_out_ISP1
/ip route add distance=2 gateway=10.100.1.254 routing-mark=lan_out_ISP2
По примеру есть два вопроса. Зачем failover с указанием шлюза, не принадлежащему к этому routing-mark?
Когда мы используем с distance 1 два маршрута(routing-mark) на один gateway, как себя должны маршруты вести?
Ну т.е один
#добавим default gateway в каждую из промаркированных таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping --- Это маркировка трафика при использовании 2х провайдеров
а второй
#добавим default gateway в каждую из промаркированных таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping --- Это PPC