pref source mikrotik что это
Настройка резервирования интернет-канала (Mikrotik)
Отсутствие интернета в компании даже на 10 минут может повлечь серьезные убытки для бизнеса. Именно поэтому подавляющее большинство наших клиентов используют технологию резервирования интернет-канала.
В данной инструкции мы опишем пример базовой настройки резервирования интернет-канала на базе оборудования Mikrotik RB951G. Вариантов реализации данного решения в сети довольно много. Мы же опишем свою версию реализации используя утилиту Netwatch.
Состав тестового стенда:
Этап 1. Подготовительные работы:
Предлагаем не углубляться в этап начальной настройки устройства. Подразумеваем, что базовая настройка устройства уже проведена, адреса получены, LTE-модем убран из вкладки Bridge.
Во вкладке Address List имеем:
В данном окне создаём 2 правила. Как создать правила и базовую настройку смотрим в статье.
Мы сделали отдельной правило, разрешающее интернет для каждого интерфейса, но можно использовать Interface list и создать только одно правило (см. рисунок ниже).
Этап 2. Настройка маршрутов
Кратко опишем процесс работы по проверке работы канала и алгоритма переключения на резервный канал и обратно.
Выбираем IP-адрес в интернете с высокой степенью доступности. В качестве примера используем IP 8.8.8.8.
Создаем дополнительный маршрут основного канала (цифра 3 на рисунке ниже) и правило в таблице маршрутизации, которое жестко привязывает прохождение трафика через канал WAN1 в случае переключения на резервный канал, пакеты будут пытаться отправляться через новый маршрут по умолчанию.
Обозначения на рисунке:
В качестве примера откроем маршрут по умолчанию для основного провайдера.
В поле Gateway необходимо указывать IP-адрес шлюза. WInbox по умолчанию предлагает выбрать интерфейс. В данной версии прошивки данная функция работает некорректно. Если указать название интерфейса, маршрут не активируется.
Поле Pref.Source можно оставить пустым, но для большей надежности мы решили закрепить прохождение трафика через этот шлюз.
Создаем правило, которое говорит нам о том, что весь трафик, идущий на адрес 8.8.8.8 направлять только через таблицу enternal.
Сначала создается маршрут и в нем прописывается routing mark, и только потом мы найдем вновь созданный routing mark в поле Table.
Настройка таблицы маршрутизации завершена.
Этап 3. Настройка скрипта переключения
В качестве основного инструмента переключения мы будем использовать Netwatch. В качестве примера – интервал проверки мы сделали 15 секунд. В реальных условиях рекомендуем увеличить значение до 10 минут. Если основной канал будет активен, но работать нестабильно (потери пакетов), то роутер будет переключать интерфейсы. Соответственно, ни основной ни резервный канал корректно работать не будут.
Сам скрипт выглядит следующим образом. Поиск ведется по комментариям, присвоенным маршрутам.
Поле UP:
Поле DOWN:
На этом настройка резервирования канала завершена.
MikroTik для Больших Дядей N3
MikroTik для Больших Дядей (Задание 3)
И так третья часть.
На данный момент мы имеем схему сети, указанную на рисунке, если вы делали всё правильно, то у вас должен работать OSPF и на всех маршрутизаторах должны быть маршруты до всех адресов Loopback интерфейсов всех маршрутизаторов.
Как вы, наверное, помните интерфейс между маршрутизаторами P-2 и P-5 имеет статус резервного и его пропускная способность 100Mbps все остальные интерфейсы, связывающие маршрутизаторы между собой, равны по качеству и скорости, и пропускная способность составляет 1Gbps.
OSPF Cost
Если вы посмотрите на таблицу маршрутизации, к примеру на маршрутизаторе P-5, то вы увидите маршрут ECMP, который построился из-за одинаковой цены маршрутов до маршрутизатора P-3. Специально не привожу адреса маршрутизаторов, у вас должно быть всё правильно сделано.
В таком случае если с маршрутизатора P-5 отправится трафик на маршрутизатор P-3, то он будет делиться между маршрутизаторами P-2 и P-6. Нас естественно такой момент не устраивает, так как интерфейс до маршрутизатора P-2 является менее продуктивным, так как его скорость меньше.
Также есть маршрут ECMP и до P-1 и такую картину вы будете наблюдать на всех маршрутизаторах, противолежащий маршрутизатор доступен сразу через два соседних маршрутизатора.
Где вы можете видеть ECMP
Так происходит, так как цена у маршрутов одинаковая. У каждого маршрутизатора есть «начальная цена» маршрута, начальная цена задаётся в instance
Изменить цену интерфейса можно с помощью команды
Обратите внимание, что цена устанавливается к номерам, поэтому сначала выполните команду print и после этого применяйте значение. Также cost можно установить при добавлении интерфейсов в OSPF.
Также необходимо отметить, что цена интерфейса однонаправленная, т.е вам необходимо будет установить цену интерфейса на двух маршрутизаторах. И не забывайте, что абсолютно весь трафик должен миновать данный интерфейс, вы должны установить такую цену, чтобы даже прямой интерфейс между маршрутизаторами был самый дорогой.
Если посмотреть на схему и самый длинный маршрут от P-2 до P-5, то это 4 хопа, так как у нас цена по умолчанию интерфейсов 10, то при самом худшем сценарии маршрут будет иметь цену на маршрутизаторе 60, который сложится из цены интерфейсов 40 и начальной цены (метрики 20). Поэтому вы должны установить такое значение, чтобы данная цена перекрывала худший сценарий, ну а если пойти ещё дальше, то давайте посчитаем, какая цена будет от маршрутизатора CE-1 до P-1 если останется только кольцо.
Посмотрите на схему выше, максимально возможный путь, который всё равно должен быть лучшим по качеству, цена маршрута будет равна 100.
Соответственно мы должны установить такую цену на интерфейсе между P-2 и P-1, что бы итоговая цена была больше чем 100.
Посчитайте для начала самостоятельно.
Да, конечно если мы установим цену равную 41, то итоговая цена на маршрутизаторе P-1 будет 101, что выше самого длинного пути, соответственно такой путь будет выбираться только в «крайних случаях». Но я рекомендую устанавливать значение кратным 10, в первую очередь из-за того, что проще считать, а во вторую очередь то, что если у вас когда-нибудь появиться ещё один резервный интерфейс и он будет лучше, чем наш текущий резервный интерфейс, то вы сможете «впихнуть» цену таким образом, чтобы он стал «Лучшим среди худших» интерфейсов. =)
Стоит упомянуть, что такой подход будет работать ТОЛЬКО если при редистрибьюции выставлен тип Type-1, в случае с Type-2 внутренние косты не учитываются, а учитывается только внешняя метрика, которую указал маршрутизатор при редистрибьюции (начальная цена). Если на маршрутизатор приходит два маршрута с одинаковым cost и если у данных маршрутов разные типы, то маршрутизатор всегда отдаёт приоритет type-1, в таком случае ECMP строится не будет.
Вы всегда можете посмотреть с какой ценной маршрутизатор использует маршрут
А также в самой таблице маршрутизации
Traceroute
Попробуйте выполнить трассировку от CE-1 до CE-2
Конечно трассировка работать не будет, так как на маршрутизаторах нет маршрутов до connected сети 172.31.252.44/30, мы их отфильтровали в прошлом задании. Когда заканчивается TTL маршрутизатор, на котором закончился TTL, должен ответить ICMP о том, что ttl expired. Но так как маршрута до сети отправления нет, ответ мы не получаем.
Всегда держите в голове
При наличии нескольких интерфейсов, когда вы отправляете пакет с маршрутизатора при неуказанном адресе источника адрес отправителя выбирается из значения pref-source того маршрута, через который отправлен пакет.
Выше таблица маршрутизации с CE-1
Когда маршрутизатор отправляет пакет на адрес CE-02 он выберет маршрут под номером 2, дальше он посмотрит какой указан шлюз в данном маршруте, если НЕ интерфейс, то далее будет искать лучший маршрут уже для адреса шлюза 172.31.252.45, а это будет маршрут под номером 0, именно этот интерфейс будет использован для отправки пакета.
Соответственно если в маршруте 2 не указан pref-source (PREF-SRC), то будет выбран адрес источника уже непосредственно connected маршрута, а в таких маршрутах адрес соответствует установленному адресу на интерфейсе. (Без IP маршрутизатор не останется)
Если мы установим на маршрутах добавленных в таблицу маршрутизации адрес loopback как значение pref-source то при трассировке мы будет видеть IP адреса не интерфейсов а адреса Loopback, что будет удобнее.
НО ВНИМАНИЕ, данный подход можно применять ТОЛЬКО если между маршрутизаторами нет прямой двойной связи, в таком случае вы из трассировке не сможет понять по какому именно интерфейсу вам возвращает трафик маршрутизатор.
В нашем случае а нас по одному соединению между маршрутизаторами поэтому мы можем внедрить данную реализацию.
И так сделаем трассировку для проверки и укажем адрес источника адрес loopback.
Сейчас мы видим, что нам все маршрутизаторы отвечают с IP адреса интерфейса которым смотрят в нашу сторону.
Теперь установим значение pref-source на всех маршрутизаторах на входящих маршрутах в фильтрах.
Чтобы не переделывать каждый маршрут мы может использовать find чтобы разом установить на все маршруты.
Естественно для каждого маршрутизатора свой адрес loopback.
Результатом будет будет установленное значение pref-source на всех маршрутах полученных по OSPF.
Теперь если мы сделаем трассировку с маршрутизатора в ответах мы будет видеть адреса loopback интерфейсов и не IP адресов интерфейсов между маршрутизаторами.
Объединение двух офисов по VPN на Mikrotik.
Задача стоит “подключить два удаленных офиса между собой по VPN”.
В обоих офисах стоят маршрутизаторы Mikrotik.
Адресация офисов.
Адресация Офиса 1 (MSK), который будет у нас VPN-сервером:
WAN 88.53.44.1
LAN 192.168.10.0/24
VPN 192.168.60.1
Адресация Офиса 2(SPB), который будет VPN-клиентом:
WAN 88.53.55.2
LAN 192.168.20.0/24
VPN 192.168.60.2
Настройка VPN-server.
1. Первый маршрутизатор в офисе MSK.
Включаем VPN-Server.
2. Создаем пользователя, который к нам будет подключаться.
3. Добавляем интерфейс сервера.
Настройка VPN-клиента.
Второй маршрутизатор в офисе SPB, создаем клиентское подключение к головному офисе в Москве. Пользователь с именем User, пароль 1225555
Маршрутизация офисов.
Теперь, после создания подключений на маршрутизаторах, нам нужно прописать статически маршруты в локальные сети через VPN на Mikrotik в обоих офисах.
Начнем с первого офиса в MSK:
dst-address – указываем локальную сеть офиса в SPB, к которой будем подключаться.
gateway – шлюз через который будем подключаться к сети, ip VPN клиента.
pref. source – указываем свою локальную сеть, с которой будем выходить.
Второй офис в SPB:
Заключение
Таким образом мы объединили два офиса между собой позволив пользователям чувствовать себя в одной сети и использовать внутренние общие ресурсы.
Если вы не видите общие ресурсы компьютеры офисов между собой или не проходит ping – отключите на обоих машинах firewall и проверьте открытость UDP порта 1701.
VPN: L2TP site-to-site (объединение офисов через ВПН на Mikrotik)
В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В филиале установлен маршрутизатор GW2, который будет настроен как VPN-клиент.
Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24
IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
Филиал
IP-адрес внешней сети головного офиса: 10.1.200.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24
IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24
VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/32
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/32
Настройка
Настройка первого маршрутизатора
Через графический интерфейс
Включить L2TP-сервер. Не смотря на то, что L2TP не несет в себе нормального шифрования, лучше оставить только аутентификацию «mschap2» как наиболее надежную.
Создать новый аккаунт. Для дальнейшего удобства лучше задавать имена так, что бы сразу можно было определить к кому или чему они относятся. Т. е. имена типа user1, user2, user3 и т. д. не желательны в виду того, что в случае увеличения их количества будет тяжело сопоставить реальных пользователей аккаунтов и сами аккаунты.
Создать статическую запись L2TP сервера. Это действие не обязательно, т. к. если запись не создать вручную, то при каждом подключении она будет создаваться динамически. Но при этом наличие этой записи облегчает дальнейшую настройку и диагностику.
Через консоль
Настройка второго маршрутизатора
Через графический интерфейс
Создать интерфейс для подключения к первому маршрутизатору. Здесь так же оставляем только аутентификацию «mschap2«.
Через консоль
Настройка маршрутизации
Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:
На первом маршрутизаторе
Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)
На втором маршрутизаторе
Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)
HQ — это аббревиатура от headquarter, что в переводе означает головной офис.
Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.
Проверка
Проверка состоит из двух частей:
Через графический интерфейс
Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.
Через консоль
Выполнить команду
/interface l2tp-server print — на сервере
/interface l2tp-client print — на клиенте
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.
Инструкции по настройке MikroTik
Настройка статической маршрутизации в MikroTik
Когда нужно применять статическую маршрутизацию в MikroTik
Любая корпоративная сеть, как правило состоит из многоуровневой коммутации как на уровне самого роутера, так и во внешних сервисах. В качестве примера будет сформирован список случаев, когда актуально обратиться к настройке статического маршрута(route) на маршрутизаторе(роутере) MikroTik:
Нужно настроить статическую маршрутизацию MikroTik?
Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.
Как настроить “static routing” в MikroTik
Будет рассмотрена запись статического маршрута, с детальным описанием рабочих параметров.
Настройка находится IP→Routes
Dst. Address – конечный адресат, популярные значения
Gateway – шлюз, которому будет отправлен пакет.
Check Gateway – проверка доступности шлюза:
Этот пункт позволяет произвести точное определение не доступности шлюза и является рекомендованным, при использовании автоматического переключения линии интернета.
Type – маршруты, которые не указывают nexthop для пакетов, но вместо этого выполняют некоторые другие действия с пакетами, имеют тип, отличный от обычного unicast(одноадресного). Маршрут blackhole(черная дыра) молча отбрасывает пакеты, в то время как маршруты, unreachable(недоступные) и prohibit(запрещающие), отправляют сообщение ICMP Destination Unreachable (код 1 и 13 соответственно) на адрес источника пакета.
Distance – определение приоритета заданного маршрута. Чем ниже число, те выше приоритет.
Scope\Target Scope – параметры рекурсивной маршрутизации, состоящей из этапов:
Больше информации по использованию параметров ааа можно найти в соответствующем руководстве “Manual:Using scope and target-scope attributes → ”
Поддержи автора статьи, сделай клик по рекламе ↓↓↓
Routing Mark – направлять пакеты из заданной таблицы маршрутизации. Как правило этот параметр или пустой или заполняется промаркерованнымb маршрутами из раздела Mangle.
Pref. Source – задается IP адрес, от которого будет отправлен пакет. Этот параметр актуален, когда на интерфейсе несколько IP адресов.
Примеры статических маршрутов в MikroTik
Настройка статического маршрута с предварительной маркировкой пакета(раздел Mangle)
Применяется для использования разных линий интернета для разных узлов. К примеру в сети расположено два сервера, использующие внешние порты 80 и 443.
Для работы правила нужно промаркировать трафик(раздел Mangle) и указать его в параметре Routing Mark.
Ручное добавление статического маршрута для PPPOE подключения
Применяется, когда нужно изменить некоторые параметры в автоматическом добавлении маршрута(Add default route)
Настройка резервного интернет канала
В качестве параметра переключателя между провайдера используется параметр Distance. Трафик в этом случае направляется в тот маршрут, значение Distance которого МЕНЬШЕ,
Балансировка нагрузки для двух интернет каналов
Осуществляется через почередное указание шлюзов провайдера. Параметром Gateway можно задавать не только последовательность, но и управлять количественной частью. К примеру, если вам нужно чтобы к провайдеру со шлюзом 11.11.11.11 уходило в 2 раза больше трафика(или там канал в 2 раза быстрее) достаточно этот шлюз указать два раза.
Добавление статического маршрута для VPN соединения
В качестве шлюза указывается IP адрес VPN клиента. Использование таких маршрутов в MikroTik популярно, когда в качестве L2TP или PPTP VPN клиента выступает роутер, со своей подсетью.
Поддержи автора статьи, сделай клик по рекламе ↓↓↓
Есть вопросы или предложения по настройке статической маршрутизации в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий →