[afedrenkv]

Добрый вечер помогите чайнику нужно настроить резервный интернет есть основной в eth1 и резервный etn10 тоже по rj45 как настроить с нуля не разу не делал. И как сделать переключение автоматически ?

[jffulcrum]

Failover (WAN Backup) - RouterOS - MikroTik Documentation

[Saab95]

Нужно поставить 2 роутера микротик и настроить на каждом свой канал интернета. Далее каждый подключить к третьему микротику, который и будет шлюзом в сеть для подключенных устройств, уже на нем будете управлять резервом, кого через какой канал отправлять и т.п.

 

С одним роутером много ограничений, т.к. нужно знать какие шлюзы по умолчанию у каналов, маркировать соединения и т.п., что займет много ресурсов роутера.

[sirmax]

27 минут назад, Saab95 сказал:

Нужно поставить 2 роутера микротик и настроить на каждом свой канал интернета. Далее каждый подключить к третьему микротику, который и будет шлюзом в сеть для подключенных устройств, уже на нем будете управлять резервом, кого через какой канал отправлять и т.п.

 

С одним роутером много ограничений, т.к. нужно знать какие шлюзы по умолчанию у каналов, маркировать соединения и т.п., что займет много ресурсов роутера.

А почему у меня работает просто назначение разных метрик на дефолт полученный от двух dhcp?

что я сделал не так, на одном микротике ?

 

да, вариант «адрес есть а инета нет» мне за время работы с провайдером встретился 0 раз

[straus]

1 час назад, Saab95 сказал:

Нужно поставить 2 роутера микротик и настроить на каждом свой канал интернета. Далее каждый подключить к третьему микротику

А зачем использовать такое говно?

 

1 час назад, sirmax сказал:

А почему у меня работает просто назначение разных метрик на дефолт полученный от двух dhcp?

что я сделал не так, на одном микротике ?

Это "устаревшие технологии" (c)

[sirmax]

1 час назад, straus сказал:

Это "устаревшие технологии" (c)

Дада, в самый раз для старовера вроде меня.

Ни тебе mpls, и ни дай боже evpn/vxlan, все по заветам @Saab95

[naves]

3 hours ago, Saab95 said:

Нужно поставить 2 роутера микротик и настроить на каждом свой канал интернета. Далее каждый подключить к третьему микротику, который и будет шлюзом в сеть для подключенных устройств, уже на нем будете управлять резервом, кого через какой канал отправлять и т.п.

А как настроить третий микротик, чтобы он автоматически выбирал через какой из первых двух выходить в интернет?

[vurd]

6 часов назад, naves сказал:

А как настроить третий микротик, чтобы он автоматически выбирал через какой из первых двух выходить в интернет?

 

Три микротика это кворум, они сами выберут. Можно еще 2 добавить, для надежности.

[naves]

А использование кворума это точно надежное решение, если еще два добавить, это какие-то выборы и демократия? Мне кажется, что отношения мастер-раб надежней и дольше работают. Обычно после вот таких демократов и приходится все выкидывать и строить сильной рукой заново все.

Edited May 21 by naves

[Saab95]

23 часа назад, naves сказал:

А как настроить третий микротик, чтобы он автоматически выбирал через какой из первых двух выходить в интернет?

Через OSPF.

 

2 микротика, установленных для подключения кабеля оператора анонсируют в сеть дефолтный маршрут. Если один провайдер основной, второй резерв. То основной дает маршрут с меньшей метрикой и трафик идет через него.

 

Далее достаточно на первых 2-х микротиках делать какие-то проверки доступности интернета (пинг там или что-то сложнее), в случае не доступности отключать анонсирование дефолтного маршрута. Тогда трафик пойдет через второй канал.

 

В 20.05.2025 в 22:42, sirmax сказал:

да, вариант «адрес есть а инета нет» мне за время работы с провайдером встретился 0 раз

Вообще распространенная ситуация, когда вроде интернет есть, но половина сайтов не открывается, или скорость очень низкая, либо потери.

[straus]

Надо поставить четвёртый микротик, который будет выбирать, куда роутить третьему.

[jffulcrum]

Нельзя нечётные количества микротиков, половина впадёт в ересь

[sirmax]

9 часов назад, Saab95 сказал:

Вообще распространенная ситуация, когда вроде интернет есть, но половина сайтов не открывается, или скорость очень низкая, либо потери.

Может быть да, может быть нет, у меня такого никогда небыло, но если вдруг возникнет я просто сделаю shutdown  одному интерфейсу руками и все развернется во второй

Когда будет такая задача у клиента, где некому сделать такое - буду решать
Но вообще хорошо бы описать формальные признаки "плохого интернета" - по вашему описанию это что-то  на языке тетеньки из бухгалтерии - "ниработает"

А надо что то такое что можно формализовать в виде кода

За одно распишите как OSPF  решает эту задачу - вы же все равно будете анонсировать дефолт от обоих провайдеров? 

Не уверен что это можно на микротике но при сильном желании можно запихнуть 2 аплинка в отдельный VRF и клиентов в третий и за счет route leaking передавать в клиентский VRF  с разной метрикой дефолт, что бы обойтись одним устройством а не тремя. Я не смотрел как это устроено на микротике -  но ожидаю что это возможно.

Что бы такого совсем совсем не было надо пару-тройку линков и фулл вью принимать от всех, все остальные решения - ебучие костыли, но мы же в теме про микротик, так что все ОК )

[Morty]

45 минут назад, sirmax сказал:

фулл вью

 

45 минут назад, sirmax сказал:

route leaking

 

Вы не учли одного момента - это все "устаревшие технологии" 😞

Edited May 22 by Morty

[naves]

Периодически задаюсь вопросом, почему почти всегда люди настраивают именно как бекап второго провайдера, когда второй провайдер такой же проводной. Можно же балансировать трафик в разных пропорциях.

 

Вспомнилось тут, как сделать на микротике, чтобы оба канала работали одновременно для запросов извне, и чтобы ответы уходили через правильный линк. Половина мануалов в интернете по состоянию на 2019 год были наполовину неправильные, простите за тавтологию.

 

Примерно как инструкции про IPSec на микротике: поздравляем вы подняли VPN-канал, но работать у вас ничего не будет, поэтому вот вам еще куча непонятных команд.

 

 

[jffulcrum]

5 минут назад, naves сказал:

Периодически задаюсь вопросом, почему почти всегда люди настраивают именно как бекап второго провайдера, когда второй провайдер такой же проводной. Можно же балансировать трафик в разных пропорциях.

 

Вспомнилось тут, как сделать на микротике, чтобы оба канала работали одновременно для запросов извне, и чтобы ответы уходили через правильный линк. Половина мануалов в интернете по состоянию на 2019 год были наполовину неправильные, простите за тавтологию.

Балансировщиков "втупую" Яндекс быстро знакомит с забором из капчи, и некоторые другие сервисы - тоже. Балансировка на уровне сессий требует уже другого уровня настройки. Впрочем, даже вторая часть задачи - с доступностью извне - уже создает трудноподдерживаемые конфигурации. Я тут сам замену одного из провайдеров недавно с первой попытки не сделал - одна очипятка в маркировке маршрута и трудноотлаживаемый привет. Конфигурацию же с балансом исходящих сессий на одном устройстве я бы доверил только какому-нибудь MTCINE

 

5 часов назад, sirmax сказал:

Не уверен что это можно на микротике но при сильном желании можно запихнуть 2 аплинка в отдельный VRF и клиентов в третий и за счет route leaking передавать в клиентский VRF  с разной метрикой дефолт, что бы обойтись одним устройством а не тремя. Я не смотрел как это устроено на микротике -  но ожидаю что это возможно.

Это возможно. Но как-то смысл от меня немного ускользает. 

[naves]

6 minutes ago, jffulcrum said:

Балансировщиков "втупую" Яндекс быстро знакомит с забором из капчи, и некоторые другие сервисы - тоже.

Да, это первая грабля, которая бьет по лбу и знакомит с реальной жизнью, поэтому там есть (вроде была) балансировка с учетом внутреннего src, и у пользователей не будут слетать авторизации на сайтах

7 minutes ago, jffulcrum said:

Впрочем, даже вторая часть задачи - с доступностью извне - уже создает трудноподдерживаемые конфигурации.

да вроде ничего сложного, и не нужно поднимать/понимать никаких OSPF и прочих динамических маршрутизаций.

 

[sirmax]

34 минуты назад, jffulcrum сказал:

Это возможно. Но как-то смысл от меня немного ускользает. 

Использовать один микротик вместо трех?

Конечно смысла нет, это просто стеб над идеями @Saab95 о бекапе с тремя устройствами, не более.

[jffulcrum]

Нет, мне конкретно схема из трёх VRF интересна. Я понимаю, клиентов в VRF загонять, но зачем аплинки в VRF совать, можно пояснительную бригаду?

[fractal]

2 минуты назад, jffulcrum сказал:

Нет, мне конкретно схема из трёх VRF интересна. Я понимаю, клиентов в VRF загонять, но зачем аплинки в VRF совать, можно пояснительную бригаду?

Наверное что то вида front-door vrf

[sirmax]

1 час назад, jffulcrum сказал:

Нет, мне конкретно схема из трёх VRF интересна. Я понимаю, клиентов в VRF загонять, но зачем аплинки в VRF совать, можно пояснительную бригаду?

У меня были проблемы с route leaking между vrf и global на циске (каталист 4900м, 4948е) по этой причине там где нужно vrf или планируется, все помещаю в них. 

на asr1001/1001x я уже не проверял, возможно проблема решена. 
 

на frr такого точно не воспроизводится, микротик готовить умею плохо, до vrf руки не дошли

 

[Saab95]

11 часов назад, sirmax сказал:

Может быть да, может быть нет, у меня такого никогда небыло, но если вдруг возникнет я просто сделаю shutdown  одному интерфейсу руками и все развернется во второй

Руками, а если нужно автоматически?

 

Конечно, можно поставить некий переключатель на проводки витой пары, или 2 витой пары с переключателями, что бы они замыкали нужную пару или размыкали, на роутере будет меняться состояние порта (есть линк или нет) и на этом основании включать или выключать нужный канал. Тогда любой человек может переключать каналы, не заходя в настройки роутера.

 

11 часов назад, sirmax сказал:

Что бы такого совсем совсем не было надо пару-тройку линков и фулл вью принимать от всех,

Тут еще больше проблем можно поймать, то трафик через одного провайдера уходит, а через второго приходит, то через какую-то петлю идет, то у одного провайдера часть маршрутов пропадет и т.п. Даже если один провайдер отключится, то соседство будет оставаться с его роутером, и несколько минут связи не будет.

 

6 часов назад, naves сказал:

Периодически задаюсь вопросом, почему почти всегда люди настраивают именно как бекап второго провайдера, когда второй провайдер такой же проводной. Можно же балансировать трафик в разных пропорциях.

Для этого нужно иметь где-то в ДЦ или у себя 2 белых IP, и подключать 2 туннеля на них, тогда можно в пределах одного роутера, просто маркировкой, помещать эти 2 адреса в маршруты к каждому провайдеру и все, туннели подключатся, OSPF соседство установит и грузите каналы как хотите, только МТУ станет чуть меньше 1500. Заодно и отключение мгновенное будет при неисправностях одного канала.

[sirmax]

12 часов назад, sirmax сказал:

Когда будет такая задача у клиента, где некому сделать такое - буду решать
Но вообще хорошо бы описать формальные признаки "плохого интернета" - по вашему описанию это что-то  на языке тетеньки из бухгалтерии - "ниработает"

А надо что то такое что можно формализовать в виде кода

Дорогой @Saab95 пожалуйста иди на хуй отвечай на все вопросы, а то не удобно получается 

 

51 минуту назад, Saab95 сказал:

Тут еще больше проблем можно поймать, то трафик через одного провайдера уходит, а через второго приходит, то через какую-то петлю идет, то у одного провайдера часть маршрутов пропадет и т.п. Даже если один провайдер отключится, то соседство будет оставаться с его роутером, и несколько минут связи не будет.

Да конечно, петля. А не похуй ли на ассиметрию? А почему? Мне лично вообще плевать.

 

часть маршрутов пропал - уйдет через второго аплинка.

 

и да, если у аплинка нет интернета, то откуда у него фулл вью? Скриптом сгенерирован? 
 

И это я пишу на форуме провайдеров, человеку который заявляет сеть в 30+ раз больше чем я админю? 

[naves]

2 hours ago, Saab95 said:

Для этого нужно иметь где-то в ДЦ или у себя 2 белых IP, и подключать 2 туннеля на них, тогда можно в пределах одного роутера, просто маркировкой, помещать эти 2 адреса в маршруты к каждому провайдеру и все, туннели подключатся, OSPF соседство установит и грузите каналы как хотите, только МТУ станет чуть меньше 1500.

А можете нарисовать всю схему?

Значит микротик роутер, два микротика подключены к каждому провайдеру, еще два микротика в ДЦ.

А NAT от пользователей где делать?

[Saab95]

В 22.05.2025 в 23:25, sirmax сказал:

и да, если у аплинка нет интернета, то откуда у него фулл вью? Скриптом сгенерирован? 
 

И это я пишу на форуме провайдеров, человеку который заявляет сеть в 30+ раз больше чем я админю? 

Вы же сами все и написали?

 

Начнем с того, что нормальные, серьезные, провайдеры, никогда не дают фулвью с роутера, они выдают маршруты совершенно с другого устройства, который непосредственно роутингом не занимается. И у них есть своя проверка доступности услуги, случись что-то - сразу анонсы убирают.

 

Но большинство дают маршруты с роутера, который физически занимается пропуском трафика, и тут очень много проблем с доступностью, т.к. убрать часть проблемных маршрутов они не могут, и довольно часто доступ до части ресурсов пропадает. И ничего нельзя поделать, разве как руками создать статические записи и перекинуть их на другого провайдера, но не факт что ответы не пойдут через провайдера, где эти маршруты не работают.

 

Именно по этой причине выгодно брать не анонсы, а просто арендовать белые адреса у оператора - натить в них своих абонентов. А анонсы использовать для своих белых адресов при предоставлении их абонентам юридическим лицам.

 

В 23.05.2025 в 00:49, naves сказал:

А можете нарисовать всю схему?

В дата центре стоят 2 микротика с внешними адресами, к ним подключен третий, который и делает НАТ, ограничивает скорость и т.п. И через него абоненты идут в интернет.

 

Те 2 микротика с внешними адресами работают как L2TP, SSTP сервер, к ним подключаются удаленные устройства, и через OSPF получают маршруты.

 

Что бы удаленные устройства передавали запросы от клиентов в туннель, а не напрямую в интернет от местного провайдера, в манглах создается маркировка пакетов, что если запрос идет от своего внутреннего адреса, то трафику вешать метку маршрута. И уже всех с этой меткой отправлять в туннель.

 

Что бы не светить белый IP местного провайдера нужно еще одно правило для уменьшения TTL, тогда в трейсе он не будет показан.