Теме: Микротик

Микротик: Расподела саобраћаја на више интернет линкова (II део)

Скраћена веза: https://pedja.supurovic.net/veza/6120

У претходном чланку Микротик: Расподела саобраћаја на више интернет линкова (I део) смо поставили задатак за конфигурацију мреже са два интернет линка која треба да обезбеди да се интернет саобраћај равномерно распореди по оба линка.

Скица мреже коју треба направити

Да бисте даље могли да пратите упутство неопходно је да добро познајете основе подешавање микротика за дељење интернет конекције. Детаљно о томе имате на Микротик – Основно подешавање за дељење интернет конекције и ограничење протока. У овом чланку ћу само прелетети преко подешавања подразумевајући да знате да их урадите и сами.

Сада ћемо поставити основну конфигурацију.

Локална мрежа

На почетку, треба да подесимо локалну мрежу. Према задатку, њој је додељен ИП опсег 10.80.1.0/24 а рутер ће имати адресу 10.80.1.1 и биће гејтвеј за тај опсег.

/ip address add address=10.80.1.1/24 interface=lan

Након овога можете подесити и DHCP за локалну мрежу:

/ip pool add name=lan-pool ranges=10.80.1.11-10.80.1.211

/ip dhcp-server network add address=10.80.1.0/24 gateway=10.80.1.1

/ip dhcp-server add address-pool=lan-pool \
  always-broadcast=yes authoritative=yes bootp-support=static \
  interface=lan lease-time=1d name=server-lan

Сви рачунари у локалној мрежи ће мрежне параметре добити од DHCP. Ипак, локалном серверу ручно подесите ИП адресу 10.80.1.2 и остале мрежне параметре. Сервер не би требало да зависи од DHCP.

Први интернет линк

Први линк је повезан на интерфејс wan1, са ИП адресом 192.168.1.2/24 и гејтвејом на адреси 192.168.1.1. Обично ове параметре интерфејс може да покупи од линка DHCP протоколом. Ако користите DHCP обавезно искључите опцију Use peer DNS, да рутер не узима ДНС параметре. То би сметало каснијој конфигурацији, поготово ако би било укључено на оба линка. ДНС ћемо у сваком случају подесити ручно.

Идемо да подесимо ручно мрежу з аовај линк. Прво ћемо интерфејсу доделити ИП адресу, исто као и за лан.

/ip address add address=192.168.1.2/24 interface=wan1

Након тога треба да подесимо и default gateway:

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 \
      distance=2 scope=30 target-scope=10 check-gateway=ping

Подесили смо метрику на 2 и проверу гејтвеја. Ова рута се неће користити осим у неким непредвиђеним ситуацијама (на пример ако се прекине други линк, или грешком пропустимо неке конекције необрађене).

Опција check-gateway омогућује да рутер проверава да ли је гејтвеј доступан и да на основу тога држи руту укљученом. То омогућује пребацивање конекција на другу руту ако се линк прекине. То је довољно у једностанвијим случајевима, али ако се линк прекине негде изе гејтвеја, онда рутер то неће на овај начин детектовати. Но, то је већ тема за неки други чланак. За овај пример, довољно је и овако.

Да би нам интернет конекција радила потребно је да подесимо маскараду, на уобичајен начин:

/ip firewall nat add action=masquerade chain=srcnat out-interface=wan1

И још само да се намести ДНС. ДНС нећемо преузимати са линкова (DHCP), већ ћемо га подесити ручно, јер нећемо користити ДНС-ове провајдера преко којих иду линкови.

Један разлог је тај што би оба линка покушавала да подесе ДНС па би долазило до конфликата, а други да и када бисмо подесили ДНС једног од провајдера од кога смо узели линк, ако би тај линк стао, ДНС не би радио преко другог линка – провајдери по правилу не дозвољавају да се њихов ДНС користи преко других провајдера.

Уместо ДНС провајдера користићемо неки од јавних ДНС сервиса о којима сам писао у чланку Како употребити јавни ДНС сервер уместо сервера провајдера. Ови ДНС-ови су увек доступни преко сваког провајдера. И ево:

/ip dns set allow-remote-requests=yes \
    primary-dns=8.8.8.8 secondary-dns=8.4.4.8

Ово би требало да буде довољно да рачунари из локалне мреже могу да приступе Интернету преко првог линка.

Други интернет линк

Да бисте подесили други интерфејс прво искључите интерфејс wan1 да не би сметао. Поновите сва подешавања за други интерфејс са одговарајућим параметрима:

/ip address add address=192.168.2.2/24 interface=wan2
/ip route add dst-address=0.0.0.0/0 gateway=192.168.2.1 \
      distance=3 scope=30 target-scope=10 check-gateway=ping
/ip firewall nat add action=masquerade chain=srcnat out-interface=wan2

Приметите да је за default gateway за други линк подешено distance=3, док је на првом интерфејсу distance=2. Овим одређујете да је први интерфејс главни и ако се деси да конекција не може да пронађе одговарајућу руту, увек ће ићи преко првог интернет линка. Овим ћете решити много потенцијалних проблема, а свакако не желите да на рутеру имате више default gateway исте метрике, јер то прави велику папазјанију и потпуно губите контролу куда конекције излазе на Интернет.

ДНС не морате поново подешавати јер онако како је подешено за први радиће и са сваким другим интенет линком који додате на рутер.

Испробајте и конекцију ка другом линку. Требало би да сада рачунари из локалне мреже могу преко њега да изаћу на Интернет.

Овако можете подесити колико год желите интернет линкова. Иако је у примерима коришћен ethernet интерфејс, ово подешавање можете применити на било који други интерфејс преко кога добијете интернет конекцију.

Не заборавите да сад поново укључите wan1. Пошто он има мању мерику, чим га укључите све конекције ка интернету ће поново ићи преко њега. Интерфејс wan2 ће служити као резерва.

Мапирање портова

Преостало је још да подесимо мапирање портова за сервисе који се налазе на серверу. ИП адреса сервера је 10.80.1.2 а портови које треба проследити су http (tcp 80), ftp (tcp 21, 22), pop3 (tcp 110) и smtp (tcp 25).

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=80 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=20,21 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=110 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

/ip firewall nat add action=dst-nat chain=dstnat dst-address-type=local \
   dst-port=25 in-interface=!lan protocol=tcp to-addresses=10.80.1.2

Приликом филтрирања конекција користимо филтер in-interface=!lan, што значи да ће се мапирање портова вршити само за конекције којима улазни интерфејс није интерфејс ка локалној мрежи. Тако смо једним правилом мапирали порт на свим wan интерфејсима одједном.

Испробајте да ли су портови заиста видљиви са Интернета преко wan1 линка јер је он активан. Ако то ради, искључите wan1 да би се активирао wan2 па проверите да ли мапирање ради и по другом линку.

Е а сад проблеми

Сада поново укључите wan1 и почиње журка. Кад имате два гејтвеја, ако су исте метрике, рутер би конекцију слао преко оба линка, наизменично. Иако то, у неким случајевима може да буде корисно и да послужи за равномерну расподелу оптерећења по линковима, у овом случају то би врло брзо направило хаос јер не бисмо имали никакву контролу. Зато смо код подешавања, наместили да први линк има метрику 2 а други метрику 3.

То значи да је default gateway првог линка, са мањом метриком,  једини активан и све конекције ће ићи преко њега линка. Тек ако се први линк искључи, други линк ће преузети улогу default gateway-а па ће конекције ићи преко њега.

Овај поступак се зове failower и добар је јер омогућава да се прекидом једног линка све аутоматски преусмери на други линк, тако да корисници и даље имају приступ Интернету. Када се први линк пононо успостави, конекције ће аутоматски поново бити преусмерене преко њега.

Ово је разлог зашто смо уопште подешавали овако default gateway на оба линка. Он иначе неће бити употребаван осим у случају да један од линкова пукне.

Недостатак овакве конфигурације је тај што други линк остаје практично неискоришћен осим у случају ако први линк стане. Уз истог разлога, конекције споља на мапиране портове ка локалном серверу радиће само преко првог линка док је он активан.

Но, оваква конфигурација итекако може да има смисла. На пример, можете имати један јак линк и желите да њега стално користите, а поред њега имате и један знатно слабији линк који није за свакодневну употребу већ служи само томе да обезбеди какву-такву везу ако се главни линк прекине.

Но, ако располажете са два добра линка, оваква конфигурација би била траћење ресурса, јер би један стално био неискоришћен, па ћемо се зато у следећем наставку позабавити подешавањем рутера тако да максимално искористи оба линка истовремено. Погледајте Микротик: Расподела саобраћаја на више интернет линкова (III део).


Поделите овај чланак са пријатељима


6 comments to Микротик: Расподела саобраћаја на више интернет линкова (II део)

  • Kristijan

    Svaka čast na trudu.
    Jako lijepi članci

    Pozdrav iz Osijeka

  • Душан

    Хвала брате! Лепо је да неко из ИТ користи ћирилицу много јасније буде 🙂 поздрав

  • Steva

    Pozdrav, treba mi savet i pomoć, trenutno imam mrezu sa SBB kablovski net preko MikroTik rutera ide u lokalnu mrezu i u tom delu mreze imam i jedan server za bazu, na drudoj lokaciji imam nekoliko racinara koji se preko wirelesa kaci na taj MTik, dakle i adrese dobija sa MikroTika, e sad bih ja to da malo prepravim odnosno uzeo sam net i za tu dugu lokaciju da ne opterecujem wireless link ali bih hteo da ostanu i dalje povezani wirelesom iz razloga sto racunari sa te udaljene lokacije moraju da dodju do Servera sa bazom za knjigovodstveni program, to otprilike treba da izgleda ovako http://postimg.org/image/kfcho4esh/

    molim za neki savet, predlog ili bilo kakvu pomoć
    Hvala

  • Petar

    Koji MikroTik uzeti za ovakvu konfiguraciju ?
    Imam 2 provajdera, da ih dovedem na jedan interni LAN. Kao u primeru.

    • Можеш употребити било који који има најмање три мрежна прикључка. Два ти требају за повезивање на мреже интернет провајдера а један за повезивање на локалну мрежу.

      Што се избора модела тиче, боље је узети моделе са јачим процесорима и виђе радне меморије. RB433 мени радио тај посао ако треба.

      Препоручујем да користиш два, један који ће само да ради са интернет провајдерима и један који ће да опслуује локалну мрежу. Тако је конфигурисање много једноставније и биће растерећенији.

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *