Mikrotik 3 WAN + Failover

Hálózati eszközök

Sziasztok!

Szenvedés az élet, de lassan feladom...
Valaki tud rá működő megoldást a következőre:

1db FIX IP címes UPC
1db T-s ADSL (pppoe)

Megcsináltam több módon, de nem működik rendesen.
Ami fontos nekem, hogy mind a két IP-címen folyamatosan vannak bejövő kapcsolatok, így a kapcsolatot folyamatosan fent kell tartani, és a NAT-nak működni kell, mindkét internettel. És ráadásul van mindkét IP esetében egy címre mutató port... :(

Kimenő net kapcsolatban, nem szükséges load balancing egyszerűen, ha elmegy a net akkor menjen át a második kapcsolatra és mondjuk erről egy e-mail esetleg küldjön...

Szóval vagy a failover nem működik vagy a NAT nem működik, vagy egyszerűen nincs kimenő net....
Valaki tud segíteni? Mert kezdek megőrülni... és a végén veszek egy soho eszközt :D

Amugy egy CCR1009-7G-1C-1S+ eszközzel próbálom a dolgot összehozni.

  • 2698 megtekintés

( Sixday v | 2017. 08. 26., szo – 02:13 )

logikailag hibas az elvarasod.
1 eszkoznek nem lehet 2 default route-ja az internet fele ugy hogy egyazon idoben ugyanazt a mukodest varod el a kettotol.

lehet load balance-olni hogy a kliensek egy resze az egyik uplinket hasznalja, a masik meg a masikat es akkor a router ilyen sticky-session szeruen hozzarendeli egyes klienseket az egyes wan uplinkekhez, vagy lehet siman failoverezni.

de ha neked mindket wanon vannak bejovo kapcsolataid akkor azok moge dmz-vel kell tenned dedikalt gepet (1-1 nat-ot).

az hogy te 1 geprol akarod egyszerre hasznalni mindket netet az siman logikailag hibas.

1 eszkoznek nem lehet 2 default route-ja az internet fele ugy hogy egyazon idoben ugyanazt a mukodest varod el a kettotol.


[root@firewall ~]# ip route show
default
        nexthop via xx.xx.14.1  dev eth_pci3.980 weight 60
        nexthop via xx.xx.103.1  dev eth_pci3.981 weight 60
        nexthop via xx.xx.59.1  dev eth_pci3.982 weight 60
        nexthop via xx.xx.238.31  dev ppp0 weight 10

Nem sikerül maradéktalanul értelmezned a fentebb írtakat.
1) a portforward úgy fog (jól) működni, hogy a bejövő csomagok kapnak mark-t, ami alapján AZON az interfészen (ipcímen) fognak kimenni a válaszcsomagok, ahonnan érkeztek
2) a nem válasz - hanem tőled induló csomagok egyetlen irányban tudnak kimenni - mégpedig az érvényes route-on.

Minél specifikusabb route van, annál inkább azt fogják választani (ha ebből is egyezés van, akkor metric, distance, stb alapján választ, de ebbe ne menjünk most bele) - ennek hiányában default route-n át megy.
Egynél több ÉRVÉNYES route nem tud lenni, ez ugye érthető...

A régebbi dualwan routerek is azt csinálták, hogy meghatározott algoritmus alapján választottak adott csomagnak alapértelmezett átjárót (ami ténylegesen azt jelenti, hogy ezeket a csomagokat mark-al látták el, hogy arra tudjon menni a csomag, amerre szeretnék)

Már csak az a kérdés, h mi alapján szeretnél balance-olni, mert a lehetőségek tárháza végtelen.
1) a belső /24-et két /25 -re bontod, első 128 IP a vonal1-en, második 128 IP a vonal2-n megy ki
2) http az egyik, összes egyéb forgalom a másik vonalon megy
3) ha vonal1 kiesik, minden forgalom átáll vonal2-re
4) minden 3. csomag vonal2-n megy ki (azáltal 33% / 66% arányban osztod a forgalmat) n-th classifier
stb

( cadmagician | 2017. 08. 26., szo – 05:59 )

En nem szarakodnek ilyennel. Az egyiket tuti pornoletoltesre hasznalnam csak.
------------------------
Jézus reset téged

( csucsu | 2017. 08. 26., szo – 08:43 )

A legegyszerűbb:

/ip route add gateway=21.21.21.22 distance=1 ;;UPC
/ip route add gateway=10.0.0.2 distance=2 ;;ADSL

A portforwardok miatt jelölni kell, hogy melyik irányból érkezik a csomag, ugyanarra kell visszaküldeni.

/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-address=xx.xx.xx.xx new-connection-mark=upc passthrough=yes
add action=mark-connection chain=input connection-state=new dst-address=yy.yy.yy.yy new-connection-mark=adsl passthrough=yes

add action=mark-routing chain=output comment="upc => upc" connection-mark=upc new-routing-mark=upc passthrough=no
add action=mark-routing chain=output comment="adsl => adsl" connection-mark=adsl new-routing-mark=adsl passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat out-interface=upc_interface
add action=masquerade chain=srcnat out-interface=pppoe-adsl_interface

/ip route
add distance=1 gateway=21.21.21.22 routing-mark=upc
add distance=1 gateway=10.0.0.2 routing-mark=adsl

valami ilyesmi...

A mangle részt így módosítsd:

/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-address=xx.xx.xx.xx new-connection-mark=upc passthrough=yes
add action=mark-connection chain=input connection-state=new dst-address=xx.xx.xx.xx new-connection-mark=upc passthrough=yes
add action=mark-connection chain=prerouting connection-state=new dst-address=yy.yy.yy.yy new-connection-mark=adsl passthrough=yes
add action=mark-connection chain=input connection-state=new dst-address=yy.yy.yy.yy new-connection-mark=adsl passthrough=yes

( Hnorbi | 2017. 08. 26., szo – 08:49 )

Failoverre itt a HUP-on találtam egy szkriptet, ami nekem "kilóra" jó volt.
A két forrásból való NAT-olásra meg kipróbált megoldásom nincs, de egy olyan tippet súgtak anno, hogy valami virtuális IP-re kellene NATolni, és azt tovább arra amire ténylegesen NATolnál. Vagy valami ilyesmi volt a tipp. De pontosan már nem emlékszem.

( vlezlee | 2017. 08. 26., szo – 20:56 )

Mi is kellene Neked pontosan?

Ha jól értem van 2 WAN-od és egy (pl 192.168.0.0/24) belső hálózatod?
A ki-és bejövő forgalomnak milyen policy szerint kellene mennie?

Vagy policy based routing a barátod, vagy metarouter.