Jump to content
Калькуляторы

4 WAN и 4 шлюза интернет для одной подсети сложная настройка маршрутизации Mukrotik

Прошу помощи в настройке и советов по маршрутизации и получению конечного результата, и да, - не задавайте вопросов - зачем оно тебе нужно так, сделать можно попроще и т.д. - я хочу, чтобы работало именно так!!!

 

post-138349-095775600 1479468508_thumb.jpg

 

Имеется сеть без домена

1 подсеть 192.168.3.0/24 - основная рабочая, в этой сети сервера, компьютеры, устройства и т.д. (все локальные адреса статика)

2 подсеть 192.168.2.0/24 – используется для устройств видеонаблюдения (все локальные адреса статика)

3 подсеть 192.168.7.0/24 – используется для внутренней IP-телефонии (все локальные адреса статика)

4 подсеть 192.168.8.0 с DHCP сервером для Wi-FI (UniFi)

Имеется оборудование Mikrotik RB2011UiAS , два Mikrotik CRS226-24G

SWITCH HP V1910-24G

На Mikrotik RB2011UiAS в порты 6,7,8,9 заходят разные 4 канала интернет,

6- PPoE Int1 (Основной канал)

7- PPoE Int2 (Первый резервный канал)

8- STATIC Int3 (Второй резервный канал)

9- PPoE ADSL (Третий резервный канал)

 

первые два PPoE от одного провайдера (один шлюз), третий статический адрес, четвертый PPoE ADSL

Порты 1-5 имеют следующие адреса

1 – 192.168.3.101

2 – 192.168.3.102

3 – 192.168.3.103

4 – 192.168.3.104

5 – 192.168.8.1

 

В интернет клиенты должны ходить по таким маршрутам:

1 порт - шлюз 192.168.3.101 –интернет 6 порта

2 порт - шлюз 192.168.3.102 –интернет 7 порта

3 порт - шлюз 192.168.3.103 –интернет 8 порта

4 порт - шлюз 192.168.3.104 –интернет 9 порта

5 порт - шлюз 192.168.8.1 –интернет 7 порта

 

При этом интернет 6 порта должен быть основным и выходить в локальную сеть шлюзом 192.168.3.101 а на портах 7-8 его резервные каналы, и в то же время они должны тоже использоваться через другие клиентские шлюзы 192.168.3.102-104, если отваливается первый интернет на 6 порту, то трафик идет через порт7, если отвалится и он то через порт 8, а далее через 9 и восстанавливаться все должно автоматически.

На 5 порту нужно создать два адреса шлюза 192.168.7.1 и 192.168.8.1 для доступа в интернет подсетей 192.168.7.0/24 и 192.168.8.0/24 (для последней нужен сервер DHCP запущенный на MikroTIK RB2011)

В идеале первые три канала объединить в балансировку и вывести в шлюз 192.168.3.101, а остальные каналы интернет сделать доступными как описано выше.

Порты 1,2,3,4,5 должны быть между собой изолированы друг от друга и не пинговаться через MikroTIK, чтобы не создавалась петля в сети, так как все они должны быть включены в свитч HP V1910-24G как общедоступные разные шлюзы в сети, и пинговаться должны только через этот свитч.

Проще говоря должна получиться схема такая, если бы было например 4 роутера ТP-Link с разным интернетом и локальными адресами (шлюзами для клиентов) как в портах 1-5.

Между свитчем HP V1910-24G и MikroTIK RB2011 нужно поставить промежуточный свитч Mikrotik CRS226-24G для администраторских целей и через него же будет связь с удаленным офисом по оптике 10G через SFP+ до другого Mikrotik CRS226-24G.

Промежуточный Mikrotik CRS226-24G должен быть разделен на отдельные группы изолированных портов (свитчи), которые между собой не должны пинговаться через сам MikroTIK:

1 группа – 1-4 порт

На 1 порт приходит шлюз 192.168.3.101

На 2 порт подключен свитч HP V1910-24G

3 и 4 порты использует админ

2 группа – 5-8 порт

На 5 порт приходит шлюз 192.168.3.102

На 6 порт подключен свитч HP V1910-24G

7 и 8 порты использует админ

3 группа – 9-12 порт

На 9 порт приходит шлюз 192.168.3.103

На 10 порт подключен свитч HP V1910-24G

11 и 12 порты использует админ

4 группа – 13-16 порт

На 13 порт приходит шлюз 192.168.3.104

На 14 порт подключен свитч HP V1910-24G

15 и 16 порты использует админ

5 группа – 17-20 порт

На 17 порт приходит шлюз 192.168.8.1

На 18 порт подключен свитч HP V1910-24G

На 19 порт подключен UniFI Cloud KEY

20 порт использует админ

6 группа – 21-24 (SFP+ - 26 порт) (используются для подключения PC и связи двух подразделений в одних адресных пространствах по оптике 10G)

На 21 порт подключен PC

На 22 порт подключен PC

На 23 порт подключен PC

24 TRUNK Port подключен свитч HP V1910-24G

26 порт SFP+ TRUNK Port подключен второй Mikrotik CRS226-24G

За свитчем HP V1910-24G сеть из свитчей HP V1910-24 (16) и HP 1700-24

 

Кроме того нужно, чтобы все микротики и другое оборудование в сети было доступны из вне по всем первым трем каналам интернет, доступ к нужным портам во всех подсетях 192.168.3.0/24, 192.168.2.0/24, 192.168.7.0/24, 192.168.8.0/24

 

На 10 порт RB2011 нужно вывести третий канал интернет из порта 8 с доступностью по порту на шлюзе 192.168.2.1

 

Прошу ногами не пинать))))

Share this post


Link to post
Share on other sites

SLAVCHIKS, не вижу повода пинать ногами за такую оригинальную схему. Вижу пару сотен баксов за работу по настройке, так сказать, в соответствии с богатой фантазией автора.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Кроме того нужно, чтобы все микротики и другое оборудование в сети было доступны из вне по всем первым трем каналам интернет, доступ к нужным портам во всех подсетях 192.168.3.0/24, 192.168.2.0/24, 192.168.7.0/24, 192.168.8.0/24

 

Прочитав эту фразу стало понятно, что одной парой сотен баксов тут не отделаться. При этом, можно упустить словосочетания 10G, присутствующие в теле основного вопроса=)

 

По существу - так задачи не решают, если у вас 4 канала от провайдера - то нужны 4 микротика, каждый обслуживает свой канал. Если у вас куча подсетей, то не нужно их все заводить на одно устройство, тем более сами хотите использовать CRS - выводите часть подсетей на него напрямую.

От проброса портов нужно отказаться, т.к. это уже устаревшая технология, и очень топорная с кучей ограничений. Если нужен удаленный доступ - подключаетесь через туннель на любой из белых адресов внешних каналов и получаете доступ в локальную сеть. Сейчас даже смартфоны умеют туннели поднимать.

Share this post


Link to post
Share on other sites

 

По существу - так задачи не решают, если у вас 4 канала от провайдера - то нужны 4 микротика, каждый обслуживает свой канал.

как в таком случае решить вопрос с резервированием канала? и как сделать чтобы подсеть 3.0 могла пользоваться всеми 4 каналами, в зависимости от того как я их распределю между пользователями ?

Share this post


Link to post
Share on other sites

как в таком случае решить вопрос с резервированием канала? и как сделать чтобы подсеть 3.0 могла пользоваться всеми 4 каналами, в зависимости от того как я их распределю между пользователями ?

 

Есть 2 технологии сетестроения:

 

1. А вобью ка я все IP руками статикой, да потом на роутере поделю сети по разным каналам и это будет круто.

2. Сделаю раздачу автоматически IP адресов, и так же автоматически распределю всех пользователей по каналам равномерно.

 

Если пока оставить вашу схемотехнику, то подключив каждый канал в отдельный микротик, вы снимаете все проблемы с распределением маршрутов, маркировками соединений и т.п. То есть на выходе у вас будет 4 порта, в которые можно отправлять данные пользователей. То есть можете прописать 4 шлюза 0.0.0.0/0 и каждому присвоить свою метку, далее в манглах маркируете абонентов по IP адресам и пускаете через разные каналы. С резервированием тоже все просто - создаете еще 12 маршрутов перекрестных. Например у вас порты:

 

1. шлюз 10.0.1.1 маркировка port_1 метрика 10.

2. шлюз 10.0.2.1 маркировка port_2 метрика 10.

3. шлюз 10.0.3.1 маркировка port_3 метрика 10.

4. шлюз 10.0.4.1 маркировка port_4 метрика 10.

 

Нужно создать еще 3 записи для резервирования первого порта:

 

2. шлюз 10.0.1.1 маркировка port_1 метрика 20.

3. шлюз 10.0.1.1 маркировка port_1 метрика 30.

4. шлюз 10.0.1.1 маркировка port_1 метрика 40.

 

В этом случае при доступности провайдера через 1 порт у вас все идет через него, если вы выдергиваете кабель из 1 порта, то этот маршрут отключается, а пакеты от клиентов маркируются меткой port_1, и тут включается маршрут через 2 порт с метрикой 20 (это вы настраиваете приоритеты, через какой порт пойдет в случае недоступности). Такие записи нужно создать для всех портов, в этом случае, если отключаться 3 порта, все абоненты побегут через оставшийся, и ничего перенастраивать не надо.

 

Тут осталось определить как проверить доступность интернета через каждый порт, самое простое это на микротиках, которые принимают каналы, отключать порт при не доступности интернета, но тогда пропадет на него доступ. По этому нужно туда повесить еще адреса для управления, тогда он через нетвач просто отключает адрес вида 10.0.1.1, а в маршрутах вы указываете проверку доступности пингом - пропал пинг пропал и маршрут.

 

Естественно, можно все сделать через динамическую маршрутизацию, но тут будет несколько сложнее с пониманием вопроса.

Share this post


Link to post
Share on other sites

Прочитав эту фразу стало понятно, что одной парой сотен баксов тут не отделаться. При этом, можно упустить словосочетания 10G, присутствующие в теле основного вопроса=)

 

Ну я ж по-скромному, со скидкой посчитал. С учетом экономии, что автору не придется покупать еще три-четыре микротика.

Share this post


Link to post
Share on other sites

 

Если пока оставить вашу схемотехнику, то подключив каждый канал в отдельный микротик, вы снимаете все проблемы с распределением маршрутов, маркировками соединений и т.п. То есть на выходе у вас будет 4 порта, в которые можно отправлять данные пользователей. То есть можете прописать 4 шлюза 0.0.0.0/0 и каждому присвоить свою метку, далее в манглах маркируете абонентов по IP адресам и пускаете через разные каналы.

 

Не совсем понял - это вы написали схемотехнику, если я оставляю все как есть у меня, или если 4 микротика будет под каналы интернет?

Тогда мне нужно будет все 4 микротика 2011 включить в CRS226-24G а его к сети, и уже на нем настраивать резервирование и Mangle маркировки - вы это имели ввиду?

Сеть у меня статическая, нет необходимости раздавать адреса микротиком с привязками к мас, но необходимость привязать к мас уже имеющуюся статику есть ))

 

Как же мне лучше поступить в данной ситуации, покупать таки микротики? неужели нельзя разделить в одном микротике сеть на изолированные сегменты, - например в каждый изолированный сегмент завести конкретный WAN и указанный порт, на который должен из него выходить интернет в локалку, а не просто в любую сеть подключенную на портах или виртуальные интерфейсы, а именно - можно ли сделать так, чтобы NAT Masquarade работал без Mangle и только в указанном жестко направлении следующим образом - если с первого порта (он для компьютеров в сети является шлюзом 192.168.3.101) пришел запрос, то NAT подменяет адрес и отправляет пакеты на порт WAN1, а если с другого порта (192.168.3.102)то в WAN2. Чтобы сам NAT как бы уже слушал именно эти адреса портов на который идут пакеты из сети для подмены, и чтобы понимал, что идет запрос из сети на адрес 192.168.3.101 и отличал от 192.168.3.102, а не сам бы IP компьютера в сети был бы для него источником информации для подмены. Есть ли возможность так маркировать пакеты именно для маскарада NAT по адресу, который компьютер в сети считает шлюзом, или может можно тогда еще пойти по другому пути - в правиле маскарада указать что если запрос пришел с конкретного компьютера указанного в адрес листе или настройках IN, то его гнать только в определенный WAN. Как такое можно сделать, маскарад не дает в настройках ставить IN, для него важен только OUT? я конечно наверное много тут напутал, знаний по NAT наверное не хватает

Edited by SLAVCHIKS

Share this post


Link to post
Share on other sites

1 подсеть 192.168.3.0/24 - основная рабочая, в этой сети сервера, компьютеры, устройства и т.д. (все локальные адреса статика)

С какой целью у Вас в одной подсети предполагается четыре шлюза?

Вы придумали такую нетривиальную схему. Почему не используете сегментирование этой подсети?

По какому принципу хотите распределять между абонентами шлюзы 101-104?

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

С какой целью у Вас в одной подсети предполагается четыре шлюза?

 

Интернет каналы имеют скорость два по 20 мегабит, один 10 и еще есть два ADSL по 8 (один из них MER, в микротике это не работает, потому только один подключу), хочу разделить эти каналы и повесить на мощные тех абонентов, кому нужна скорость и большие объемы трафика, на меньшие тех, кому просто нужно страницы в интернете читать, чтобы распределить это все хочу убрать всякие длинки и тплинки. где оно сейчас висит и управлять всем из микротика. три канала - оптика, но аварии тоже бывают, потому нужно резерв канала для основной группы абонентов, что должны быть всегда онлайн, возможно в понедельник уберу один канал, от одного провайдера идут два первых и если отваливаются то оба сразу, и оставлю один с переходом на большую скорость. будет два канала оптики и adsl ppoe. Сегментирование не получится сделать, у них у всех используются одни ресурсы - сервера , принтеры , шары на серверах, базы данных и т.д., создавать двойные ip на серверах не хочу, две сетевых смотрящих в разные сети тоже не вариант, сейчас на 3 серверах стоят по две сетевых , одна смотрит в сеть, другая в интернет, сеть напомню без домена. на одном из серверов включен мастер-браузер , который создает список имен сети, а остальные клиенты и сервера с него его выкачивают. Разделение на подсети создаст мне проблемы с созданием списка, в других моих подсетях он не нужен, я делаю автоматом рассылки по рабочей группе, вдруг, что случается и нужно всем выходить из программ, а с разными подсетями это тоже будет проблемно, так как группа рабочая будет не одна

Edited by SLAVCHIKS

Share this post


Link to post
Share on other sites

SLAVCHIKS, если вам нужно разным абонентам разную скорость, то не надо плодить шлюзы абонентские 192.168.3.101-104. Это по-другому делается.

Share this post


Link to post
Share on other sites

Не совсем понял - это вы написали схемотехнику, если я оставляю все как есть у меня, или если 4 микротика будет под каналы интернет?

 

Если будут 4 микротика под каналы.

 

Тогда мне нужно будет все 4 микротика 2011 включить в CRS226-24G а его к сети, и уже на нем настраивать резервирование и Mangle маркировки - вы это имели ввиду?

 

Да, именно так.

 

Как же мне лучше поступить в данной ситуации, покупать таки микротики? неужели нельзя разделить в одном микротике сеть на изолированные сегменты, - например в каждый изолированный сегмент завести конкретный WAN и указанный порт, на который должен из него выходить интернет в локалку, а не просто в любую сеть подключенную на портах или виртуальные интерфейсы, а именно - можно ли сделать так, чтобы NAT Masquarade работал без Mangle и только в указанном жестко направлении следующим образом - если с первого порта (он для компьютеров в сети является шлюзом 192.168.3.101) пришел запрос, то NAT подменяет адрес и отправляет пакеты на порт WAN1, а если с другого порта (192.168.3.102)то в WAN2. Чтобы сам NAT как бы уже слушал именно эти адреса портов на который идут пакеты из сети для подмены, и чтобы понимал, что идет запрос из сети на адрес 192.168.3.101 и отличал от 192.168.3.102, а не сам бы IP компьютера в сети был бы для него источником информации для подмены. Есть ли возможность так маркировать пакеты именно для маскарада NAT по адресу, который компьютер в сети считает шлюзом, или может можно тогда еще пойти по другому пути - в правиле маскарада указать что если запрос пришел с конкретного компьютера указанного в адрес листе или настройках IN, то его гнать только в определенный WAN. Как такое можно сделать, маскарад не дает в настройках ставить IN, для него важен только OUT? я конечно наверное много тут напутал, знаний по NAT наверное не хватает

 

Проблема в том, что у вас разные типы подключения, и если подключить просто 4 канала интернета в микротик, то на нем как бы появятся 4 шлюза по умолчанию, и каким образом управлять какой трафик куда идет? Особенно учитывая то, что часть провайдеров используют PPPoE=)

Управление трафиком, нормально, работает только по статическим маршрутам, если вести разговор про каналы интернета. Именно по этой причине и предлагаются 4 микротика, что бы привести схему к правильному виду.

 

НАТ настраивается не по интерфейсам, а по src адресам. У вас есть серая локалка и с ее адресов идут в интернет, но это не значит что все, что идет через исходящий канал должно заворачиваться через НАТ.

Share this post


Link to post
Share on other sites

Особенно учитывая то, что часть провайдеров используют PPPoE=)

Управление трафиком, нормально, работает только по статическим маршрутам,

 

первые два канала от одного провайдера получают по PPoE статику по динамике. шлюз и ip не меняется, так что я думаю можно маршрутизировать (кроме того думаю закрыть контракт на один из каналов а на втором повысить скорость), с ADSL PPoE сложнее, но тут можно сам модем поставить в роутер, принять статику, будет проходить через два NAT , пинг увеличит немного. Задача чуть упростилась.

 

если вам нужно разным абонентам разную скорость, то не надо плодить шлюзы абонентские 192.168.3.101-104. Это по-другому делается.

 

Дело не в шейпинге, а в том , чтобы использовать весь интернет, что заходит на контору, а не чтобы шнурком болтался на "авось пригодится"

 

Еще есть вопрос, который меня по ходу дела озадачил, я связываю две удаленные точки в километр парной оптикой 10G, на столе у себя настроил два микротика CRS226-24G - возникла проблема, создал несколько vlan на чипе свитча в каждом, в пределах одного роутера трафик и vlan работают. sfpplus2 порт указал мастером на обоих, на нем теггированный трафик, вроде все должно работать. но через оптику трафик не идет, в чем может быть дело? я создавал vlan только в свитче, CPU не задействовал, в одном видео как то видел, что создают параллельно такие же vlan в разделе interface, нужно это или нет? почему оптика не хочет работать как trunk, в чем может быть проблема? Да, и может кто сталкивался - в меню свитча есть опция создания Trunk из двух и более портов - это настройка trunk содинения с агрегированием линка по Ethernet из двух и более портов для соединения свитчей или что? не нашел инфы по этому вопросу (((

Share this post


Link to post
Share on other sites

То есть можете прописать 4 шлюза 0.0.0.0/0 и каждому присвоить свою метку, далее в манглах маркируете абонентов по IP адресам и пускаете через разные каналы. С резервированием тоже все просто - создаете еще 12 маршрутов перекрестных. Например у вас порты:

 

1. шлюз 10.0.1.1 маркировка port_1 метрика 10.

2. шлюз 10.0.2.1 маркировка port_2 метрика 10.

3. шлюз 10.0.3.1 маркировка port_3 метрика 10.

4. шлюз 10.0.4.1 маркировка port_4 метрика 10.

 

Нужно создать еще 3 записи для резервирования первого порта:

 

2. шлюз 10.0.1.1 маркировка port_1 метрика 20.

3. шлюз 10.0.1.1 маркировка port_1 метрика 30.

4. шлюз 10.0.1.1 маркировка port_1 метрика 40.

 

В этом случае при доступности провайдера через 1 порт у вас все идет через него, если вы выдергиваете кабель из 1 порта, то этот маршрут отключается, а пакеты от клиентов маркируются меткой port_1, и тут включается маршрут через 2 порт с метрикой 20 (это вы настраиваете приоритеты, через какой порт пойдет в случае недоступности). Такие записи нужно создать для всех портов, в этом случае, если отключаться 3 порта, все абоненты побегут через оставшийся, и ничего перенастраивать не надо.

 

можете пояснить что за 12 маршрутов нужно создать?

сейчас у меня будет три шлюза. я сократил на один канал,

у меня еще вопрос, если включить web proxy, чтобы резать доступ к сайтам, то его мне нужно включать в каждом RB2011 или уже в CRS226, куда сойдутся шлюзы, и не могу понять где вводить метрику, если не трудно напишите терминальную команду добавления хоть одной строки а я там разберусь уже

Share this post


Link to post
Share on other sites

По данной схеме можете пояснить, мне nat уже не нужно будет включать? и как поступить с настройкой шлюзов у клиентов, если я укажу шлюз в данном примере на всех клиентах 10.0.1.1 , то если этот канал пропадет как трафик пойдет в 10.0.2.1 - Мне выходы из всех RB2011 заводить в CRS226 не через свитч? а через проц, и делать их как WAN ?

Edited by SLAVCHIKS

Share this post


Link to post
Share on other sites

Если у абонентов CRS, тогда никакие вланы не нужны, вешаете IP адреса прямо на порты устройства и абоненты с ними работают, получается схема чистого L3.

 

можете пояснить что за 12 маршрутов нужно создать?

сейчас у меня будет три шлюза. я сократил на один канал,

 

Перекрестные шлюзы на случай проблем с любым каналом, тогда его просто можно выключить не трогая настройки. Если лишних правил не делать, то отключить канал будет сложнее - часть абонентов останется без интернета.

 

у меня еще вопрос, если включить web proxy, чтобы резать доступ к сайтам, то его мне нужно включать в каждом RB2011 или уже в CRS226, куда сойдутся шлюзы, и не могу понять где вводить метрику, если не трудно напишите терминальную команду добавления хоть одной строки а я там разберусь уже

 

Веб прокси не позволит раздать большую скорость абонентам, да и предназначен для других целей.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.