Izbornik Zatvoriti

Mikrotik: Raspodela saobraćaja na više internet linkova (II deo)

Skraćena veza: https://pedja.supurovic.net/veza/6120

U prethodnom članku Mikrotik: Raspodela saobraćaja na više internet linkova (I deo) smo postavili zadatak za konfiguraciju mreže sa dva internet linka koja treba da obezbedi da se internet saobraćaj ravnomerno rasporedi po oba linka.

Skica mreže koju treba napraviti

Da biste dalje mogli da pratite uputstvo neophodno je da dobro poznajete osnove podešavanje mikrotika za deljenje internet konekcije. Detaljno o tome imate na Mikrotik – Osnovno podešavanje za deljenje internet konekcije i ograničenje protoka . U ovom članku ću samo preleteti preko podešavanja podrazumevajući da znate da ih uradite i sami.

Sada ćemo postaviti osnovnu konfiguraciju.

Lokalna mreža

Na početku, treba da podesimo lokalnu mrežu. Prema zadatku, njoj je dodeljen IP opseg 10.80.1.0/24 a ruter će imati adresu 10.80.1.1 i biće gejtvej za taj opseg.

/ip address add address=10.80.1.1/24 interface=lan

Nakon ovoga možete podesiti i DHCP za lokalnu mrežu:

/ip pool add name=lan-pool ranges=10.80.1.11-10.80.1.211

/ip dhcp-server network add address=10.80.1.0/24 gateway=10.80.1.1

/ip dhcp-server add address-pool=lan-pool \
  always-broadcast=yes authoritative=yes bootp-support=static \
  interface=lan lease-time=1d name=server-lan

Svi računari u lokalnoj mreži će mrežne parametre dobiti od DHCP. Ipak, lokalnom serveru ručno podesite IP adresu 10.80.1.2 i ostale mrežne parametre. Server ne bi trebalo da zavisi od DHCP.

Prvi internet link

Prvi link je povezan na interfejs wan1, sa IP adresom 192.168.1.2/24 i gejtvejom na adresi 192.168.1.1. Obično ove parametre interfejs može da pokupi od linka DHCP protokolom. Ako koristite DHCP obavezno isključite opciju Use peer DNS, da ruter ne uzima DNS parametre. To bi smetalo kasnijoj konfiguraciji, pogotovo ako bi bilo uključeno na oba linka. DNS ćemo u svakom slučaju podesiti ručno.

Idemo da podesimo ručno mrežu z aovaj link. Prvo ćemo interfejsu dodeliti IP adresu, isto kao i za lan.

/ip address add address=192.168.1.2/24 interface=wan1

Nakon toga treba da podesimo i default gateway:

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 \
      distance=2 scope=30 target-scope=10 check-gateway=ping

Podesili smo metriku na 2 i proveru gejtveja. Ova ruta se neće koristiti osim u nekim nepredviđenim situacijama (na primer ako se prekine drugi link, ili greškom propustimo neke konekcije neobrađene).

Opcija check-gateway omogućuje da ruter proverava da li je gejtvej dostupan i da na osnovu toga drži rutu uključenom. To omogućuje prebacivanje konekcija na drugu rutu ako se link prekine. To je dovoljno u jednostanvijim slučajevima, ali ako se link prekine negde ize gejtveja, onda ruter to neće na ovaj način detektovati. No, to je već tema za neki drugi članak. Za ovaj primer, dovoljno je i ovako.

Da bi nam internet konekcija radila potrebno je da podesimo maskaradu, na uobičajen način:

/ip firewall nat add action=masquerade chain=srcnat out-interface=wan1

I još samo da se namesti DNS. DNS nećemo preuzimati sa linkova (DHCP), već ćemo ga podesiti ručno, jer nećemo koristiti DNS-ove provajdera preko kojih idu linkovi.

Jedan razlog je taj što bi oba linka pokušavala da podese DNS pa bi dolazilo do konflikata, a drugi da i kada bismo podesili DNS jednog od provajdera od koga smo uzeli link, ako bi taj link stao, DNS ne bi radio preko drugog linka – provajderi po pravilu ne dozvoljavaju da se njihov DNS koristi preko drugih provajdera.

Umesto DNS provajdera koristićemo neki od javnih DNS servisa o kojima sam pisao u članku Kako upotrebiti javni DNS server umesto servera provajdera . Ovi DNS-ovi su uvek dostupni preko svakog provajdera. I evo:

/ip dns set allow-remote-requests=yes \
    primary-dns=8.8.8.8 secondary-dns=8.4.4.8

Ovo bi trebalo da bude dovoljno da računari iz lokalne mreže mogu da pristupe Internetu preko prvog linka.

Drugi internet link

Da biste podesili drugi interfejs prvo isključite interfejs wan1 da ne bi smetao. Ponovite sva podešavanja za drugi interfejs sa odgovarajućim parametrima:

/ip address add address=192.168.2.2/24 interface=wan2
/ip route add dst-address=0.0.0.0/0 gateway=192.168.2.1 \
      distance=3 scope=30 target-scope=10 check-gateway=ping
/ip firewall nat add action=masquerade chain=srcnat out-interface=wan2

Primetite da je za default gateway za drugi link podešeno distance=3, dok je na prvom interfejsu distance=2. Ovim određujete da je prvi interfejs glavni i ako se desi da konekcija ne može da pronađe odgovarajuću rutu, uvek će ići preko prvog internet linka. Ovim ćete rešiti mnogo potencijalnih problema, a svakako ne želite da na ruteru imate više default gateway iste metrike, jer to pravi veliku papazjaniju i potpuno gubite kontrolu kuda konekcije izlaze na Internet.

DNS ne morate ponovo podešavati jer onako kako je podešeno za prvi radiće i sa svakim drugim intenet linkom koji dodate na ruter.

Isprobajte i konekciju ka drugom linku. Trebalo bi da sada računari iz lokalne mreže mogu preko njega da izaću na Internet.

Ovako možete podesiti koliko god želite internet linkova. Iako je u primerima korišćen ethernet interfejs, ovo podešavanje možete primeniti na bilo koji drugi interfejs preko koga dobijete internet konekciju.

Ne zaboravite da sad ponovo uključite wan1. Pošto on ima manju meriku, čim ga uključite sve konekcije ka internetu će ponovo ići preko njega. Interfejs wan2 će služiti kao rezerva.

Mapiranje portova

Preostalo je još da podesimo mapiranje portova za servise koji se nalaze na serveru. IP adresa servera je 10.80.1.2 a portovi koje treba proslediti su http (tcp 80), ftp (tcp 21, 22), pop3 (tcp 110) i smtp (tcp 25).

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=80 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=20,21 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=110 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=25 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

Prilikom filtriranja konekcija koristimo filter in-interface=!lan, što znači da će se mapiranje portova vršiti samo za konekcije kojima ulazni interfejs nije interfejs ka lokalnoj mreži. Tako smo jednim pravilom mapirali port na svim wan interfejsima odjednom.

Isprobajte da li su portovi zaista vidljivi sa Interneta preko wan1 linka jer je on aktivan. Ako to radi, isključite wan1 da bi se aktivirao wan2 pa proverite da li mapiranje radi i po drugom linku.

E a sad problemi

Sada ponovo uključite wan1 i počinje žurka. Kad imate dva gejtveja, ako su iste metrike, ruter bi konekciju slao preko oba linka, naizmenično. Iako to, u nekim slučajevima može da bude korisno i da posluži za ravnomernu raspodelu opterećenja po linkovima, u ovom slučaju to bi vrlo brzo napravilo haos jer ne bismo imali nikakvu kontrolu. Zato smo kod podešavanja, namestili da prvi link ima metriku 2 a drugi metriku 3.

To znači da je default gateway prvog linka, sa manjom metrikom,  jedini aktivan i sve konekcije će ići preko njega linka. Tek ako se prvi link isključi, drugi link će preuzeti ulogu default gateway-a pa će konekcije ići preko njega.

Ovaj postupak se zove failower i dobar je jer omogućava da se prekidom jednog linka sve automatski preusmeri na drugi link, tako da korisnici i dalje imaju pristup Internetu. Kada se prvi link ponono uspostavi, konekcije će automatski ponovo biti preusmerene preko njega.

Ovo je razlog zašto smo uopšte podešavali ovako default gateway na oba linka. On inače neće biti upotrebavan osim u slučaju da jedan od linkova pukne.

Nedostatak ovakve konfiguracije je taj što drugi link ostaje praktično neiskorišćen osim u slučaju ako prvi link stane. Uz istog razloga, konekcije spolja na mapirane portove ka lokalnom serveru radiće samo preko prvog linka dok je on aktivan.

No, ovakva konfiguracija itekako može da ima smisla. Na primer, možete imati jedan jak link i želite da njega stalno koristite, a pored njega imate i jedan znatno slabiji link koji nije za svakodnevnu upotrebu već služi samo tome da obezbedi kakvu-takvu vezu ako se glavni link prekine.

No, ako raspolažete sa dva dobra linka, ovakva konfiguracija bi bila traćenje resursa, jer bi jedan stalno bio neiskorišćen, pa ćemo se zato u sledećem nastavku pozabaviti podešavanjem rutera tako da maksimalno iskoristi oba linka istovremeno. Pogledajte Mikrotik: Raspodela saobraćaja na više internet linkova (III deo).

6 Comments

  1. Steva

    Pozdrav, treba mi savet i pomoć, trenutno imam mrezu sa SBB kablovski net preko MikroTik rutera ide u lokalnu mrezu i u tom delu mreze imam i jedan server za bazu, na drudoj lokaciji imam nekoliko racinara koji se preko wirelesa kaci na taj MTik, dakle i adrese dobija sa MikroTika, e sad bih ja to da malo prepravim odnosno uzeo sam net i za tu dugu lokaciju da ne opterecujem wireless link ali bih hteo da ostanu i dalje povezani wirelesom iz razloga sto racunari sa te udaljene lokacije moraju da dodju do Servera sa bazom za knjigovodstveni program, to otprilike treba da izgleda ovako http://postimg.org/image/kfcho4esh/

    molim za neki savet, predlog ili bilo kakvu pomoć
    Hvala

  2. Petar

    Koji MikroTik uzeti za ovakvu konfiguraciju ?
    Imam 2 provajdera, da ih dovedem na jedan interni LAN. Kao u primeru.

    • Peđa

      Možeš upotrebiti bilo koji koji ima najmanje tri mrežna priključka. Dva ti trebaju za povezivanje na mreže internet provajdera a jedan za povezivanje na lokalnu mrežu.

      Što se izbora modela tiče, bolje je uzeti modele sa jačim procesorima i viđe radne memorije. RB433 meni radio taj posao ako treba.

      Preporučujem da koristiš dva, jedan koji će samo da radi sa internet provajderima i jedan koji će da opsluuje lokalnu mrežu. Tako je konfigurisanje mnogo jednostavnije i biće rasterećeniji.

      • Petar

        Sto se tice interne mreze, tu imam AT-9000 u koji dolazi jedan internet link (Telekom VDSL). Sad samo hocu da ubacim Orion optiku, ali da oba idu preko Mikrotika, pa u AT.

Ostavite odgovor na Steva Odustani od odgovora

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

Popunite izraz tako da bude tačan: *

Ovo veb mesto koristi Akismet kako bi smanjilo nepoželjne. Saznajte kako se vaši komentari obrađuju.