В этой статье мы рассмотрим резервирование и балансировку трафика сразу от 4х мобильных операторов. В качестве 4G роутеров будем использовать 4 профессиональных 4G роутера Tandem-4GL-OEM.
Бывают случаи, когда резервирование интернета только одним каналом недостаточно, как раз для такого случая мы рассмотрим резервирование и балансировку сразу от четырех независимых каналов интернет.
В качестве интернет каналов у нас будут взяты 4 LTE-роутера Tandem-4GL-OEM со встроенным промышленным 4G/3G модемом. Тем самым получится чрезвычайно надежное интернет соединение. Роутеры Tandem-4GL-OEM установили в герметичный корпус с вырезами под антенны и гермовводами для подключения питания и сетевых кабелей. Таким образом данный бокс может быть размещен на улице, тем более что роутеры Tandem-4GL-OEM работают при температуре от -40 до +60 °С.
Если Вы — опытный настройщик Mikrotik и не нуждаетесь в настройке с ноля, сразу переходите к пункту 7.
Перейдем к настройке Mikrotik
1. Подключение к роутеру Mikrotik.
Подключимся к роутеру с помощью Winbox по MAC-адресу
2. Сброс настроек роутера
Настройку роутера будем осуществлять «с ноля» поэтому для начала сбросим предустановленные настройки:
Переподключитесь к Mikrotik с помощью Winbox.
3. Настроим LAN порт и Wi-Fi. 4 порта Mikrotik будут задействованы под разных провайдеров, а 1 будет использован для локальной сети. Для локальной сети выберем порт 2, объединим его и Wi-Fi в единую сеть LAN.
Для этого создадим интерфейс Bridge и добавим в него интерфейсы ethe2 и wlan1.
Открываем меню Bridge, нажимаем +, в поле Name прописываем имя интерфейса, нажимаем ОК.
Переходим во вкладку Ports меню Bridge. Добавим порт ether2 и wlan1.
5. Настраиваем DHCP сервер локальной сети.
Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер:
Откройте меню IP — DHCP Server и нажмите кнопку DHCP Setup
6. Настройка Wi-Fi
Откройте меню Wireless;Нажмите на интерфейсе wlan1 и нажмите кнопку Enable (синяя галочка).
Создаем пароль для подключения к точке доступа MikroTik:
Настраиваем параметры Wi-Fi точки MikroTik:
7. Даем название интернет-портам
Для этого перейдите в меню Interfaces, щелкните на интерфейс ether1 и в поле name вкладки General измените имя на ISP1.
Повторите для остальных интернет-портов, называя их ISP2, ISP3, ISP4. L AN-порт ether2 оставим без изменения.
8. Настройка портов интернета
Настраиваем 1-й, 3-й, 4-й и 5-й порты на динамическое получение сетевых настроек от провайдера по DHCP.
Если каждый из интернет-каналов уже подключен в соответствующий порт, то в поле IP Address мы увидим IP, который роутер-провайдер выдал интерфейсу Микротика.
9. Настройка Firewall NAT.
Перейдем в меню IP — Firewall, на вкладку NAT.
Для подмены IP адресов при направлении от клиента Микротика к роутеру-провайдеру, нам нужно создать следующее правило:
Здесь же нам нужно создать еще несколько NAT правил для каждого интернет интерфейса (ISP1-4)
10. Настройка Firewall Mangle. Маркировка трафика.
Переходим на вкладку mangle. Здесь нам нужно создать правила для маркировки трафика с разных интерфейсов. Это нужно для того, чтобы не обрывать сессии при загрузке с одного из каналов.
Мы настроили маркировку входящего трафика. Теперь нам нужно промаркировать исходящий.
Осталось создать еще одно правило для внутрисетевого трафика
В итоге у нас должно получиться 9 правил:
11. Настройка маршрутов.
Перейдем в меню IP-Routes. Добавим default gateway в каждую из промаркированных таблиц маршрутизации.
В итоге получили 5 новых правил маршрутизации, 1 создается автоматически
На этом настройка завершена. Микротик периодически переключает основной шлюз на разных операторов, тем самым распределяя нагрузку, при этом не разрывает текущие сессии. Получается чрезвычайно надежный канал связи. Выход из строя любого из провайдеров никак не повлияет на работу. Единственный вариант пропадания интернета в таком решении — одновременный отказ всех четырех операторов, что крайне маловероятно.
Почти в каждой организации были случаи, когда пропадал интернет. Такие проблемы негативно влияют на любой бизнес. Для устранения риска пропустить важный тендер организациями широко используется резервирование интернет канала. Провайдеры проводного интернета всегда ставят завышенные тарифы на интернет для юридических лиц и это при низкой скорости канала. В удаленных от центра организациях зачастую бывает только 1 провайдер проводного интернета. С помощью 3G/4G модемов можно реализовать надежный и недорогой резервный канал интернета, который включится автоматически, как только возникнут проблемы на основном канале и переключит интернет обратно на основной сразу после его восстановления. Пример реализации резервирования интернета с помощью надежного высокоскоростного модема Тандем-4G будет рассмотрен в этой статье.
Реализовывать резервный канал будем на профессиональном роутере Mikrotik.
На этом настройка закончена, протестируйте переключение, отключив основной канал интернета. Роутер переключит интернет на модем. В меню Interfaces вы можете наблюдать когда происходит переключение.
Активен интерфейс ether1, интернет работает по основному каналу:
Активен интерфейс Tandem-4G, интернет работает по резервному каналу:
Возможны так же и другие варинаты резервирования:
Как я уже отмечал ранее у себя в блоге, мой основной и единственный источник Интернета в доме это LTE. К сожалению, в настоящее время тенденция такова, что операторов с публичными безлимитными тарифами уже не осталось (во всяком случае в моем регионе). В связи с этим пропала и возможность комбинировать безлимитный тарифный план LTE со скоростным LTE на двух модемах. Тем не менее, необходимость в резервном канале осталась, поэтому ниже небольшой скрипт, который поможет реализовать резервирование встроенного LTE модема с помощью внешнего USB модема.
Скрипт, расположенный ниже, является адаптацией вот этого материала (пожалуйста, ознакомьтесь, чтобы понимать принцип работы). Основное отличие между скриптами заключается в том, что в версии для двух LTE модемов переключение осуществляется не за счет отключения соответствующих интерфейсов, а за счет изменения параметра default-router-distance в профилях APN LTE.
Скрипт проверяет доступность DNS серверов Yandex через встроенный и USB модемы соответственно. В случае, количество успешных пингов сервера по первому каналу становится меньше чем на втором, но при этом по второму каналу все пинги успешные, то происходит изменение default-route-distance, что, в свою очередь, приведет к изменению таблицы маршрутизации. Обратное переключение со второго канала на первый происходит аналогично. Для автоматического обновления маршрутов в профиле APN должен быть активен пункт “Add Default Route”. В этом скрипте нет сброса текущих соединений, т.к в моем случае этого не требуется. Проверка текущего значения default-route-distance нужна для того, чтобы переопределение маршрутов происходило только при изменении значения.
Для правильной работы скрипта у встроенного модема должен быть определен APN профиль с именем LTE1, а для USB – профиль default.
А на этом пока все. Надеюсь, кому-то это материал поможет.
Последние несколько лет единственными источниками интернета для моей домашней сети являются исключительно мобильные операторы, т.к. технической возможности подключения к какому-нибудь проводному провайдеру нет. За это время я успел сменить нескольких операторов, включая МТС, Мегафон и Yota, но в итоге пришел к выводу, что только использование нескольких операторов позволяет получить высокую входящую скорость и неограниченный трафик, поэтому сейчася использую сразу два LTE подключения.
В качестве основного роутера я использую Mikrotik Chateau LTE12 с внешней антенной Антекс AX-2513P MIMO 2×2. Как следует из названия, в этот роутер встроен LTE модем, который поддерживает агрегацию частот и, в теории, способен работать на скоростях до 600/150 Мбит/сек (Down/Up). На практике все, конечно, очень сильно зависит от взаимного расположения антенны и базовой станции, загрузки самой станции и выбранного оператора.
Так, работая в сети Beeline через встроенный модем, можно получить прекрасное отношение сигнал/шум и агрегацию частот B7+B3.
Beeline агрегация B7+B3
Отличный уровень сигнала обеспечивает хорошую скорость входящего трафика: на уровне 150 Мбит/сек (здесь и далее приведены результаты SpeedTest.net). Скорость исходящего трафика ожидаемо оказывается заметно ниже и остается в пределах скромных 20 Мбит/сек.
Speedtest, Beeline B7+B3
Казалось бы подобных результатов должно быть достаточно для нужд домашней сети, но дьявол кроется в деталях. Узким местом в случае с Билайн оказался непубличный тариф. Для подключения к Билайн я использую один из тарифов, предлагаемых Mixu.ru Но мой опыт показывает, что заявленный безлимитный интернет на проверку оказывается лимитным. Применительно к упомянутому Mixu, мне сложно определить точно объем включенного трафика, т.к. я не веду подсчет входящего/исходящего трафика в сети, но оценочно он составляет примерно 100ГБ, после чего скорость ограничивается на уровне 512Кбит/сек до окончания расчетного периода.
Поэтому следующим логичным шагом стал переход на публичный безлимитный тариф. Операторов, которые предлагают публичные безлимитные тарифы, но при этом не ограничивают скорость входящего трафика, в моем городе всего два: Yota и WiFire. Оба работают на базовых станциях Мегафона и поддерживают агрегацию частот. Я остановился на WiFire, при этом год активной эксплуатации Yota за плечами тоже имеется. Почему же именно WiFire? Все просто, он дешевле. Год Yota обошелся мне в 9000 руб., при этом оплата строго единовременная. В пересчете на месяц получается 750 руб., при этом услуги WiFire за аналогичный период обойдутся в 650 руб. Разница в стоимости небольшая, всего 100 руб., но в пересчете на год экономия уже 1200, а это почти два месяца от WiFire.
К сожалению, получить такое же хорошее качество сигнала как у Билайна в случае с Мегафон/Yota/WiFire не получилось. Отношение сигнал/шум откровенно плохое и в результате входящая скорость, даже с учетом агрегации B7+B7+B7, редко превышала 50 Мбит/сек.
WiFire агрегация B7+B7+B7
Тот самый случай, когда агрегация B7+B7+B7 не дает особых преимуществ, разве что скорость исходящего трафика, которая, к сожалению, не так интересна.
SpeedTest, WiFire B7+B7+B7
Забавно, но Speedtest в отчете упорно указывает в качестве провайдера Yota, хотя на самом деле оператор WiFire.
Таким образом, я оказался перед выбором из двух достаточно противоречивых вариантов. С одной стороны это быстрый, но явно ограниченный по объему трафика интернет от Beeline, а с другой не очень быстрый, но безлимитный интернет от WiFire. И возник вопрос, а можно ли их как-то объединить, чтобы пользоваться быстрым вариантом, например, на смартфоне, а тяжелый контент с NAS направлять через безлимитный вариант? Да, можно! И в случае с Mikrotik RouterOS 7 сделать это достаточно просто и интуитивно понятно. Ниже небольшая инструкция. Забегая вперед отмечу, что не являюсь экспертом в области конфигурации сетевого оборудования, поэтому если у вас есть замечания по существу, напишите об этом в комментариях, я обязательно дополню материал.
В качестве второго модема я использую USB модем Huawei E8372H-153. Этот модем не поддерживает агрегацию и может обеспечить работу лишь на скоростях до 150/50 Мбит/сек (Down/Up).
После подключения модема в Mikrotik в списке интерфейсов должен появиться еще один интерфейс LTE. На скриншоте ниже это lte2, а lte1 это встроенный модем роутера.
USB LTE модем в списке интерфейсов Mikrotik
Переходим на вкладку LTE и проверяем параметры LTE APN. Должен быть отмечен пункт “Add Default Route”, а “Default Route Distance” установлен не менее 2.
Настройка LTE APN
Чтобы получить доступ к web-панели управления модемом Huawei, находящейся по адресу 192.168.8.1, необходимо добавить lte2 в список WAN интерфейсов (справедливо при условии что дефолтные правила Firewall не удалены, в противном случае нужно создать правило masquerde для srcnat для lte2).
Собственно минимально необходимые настройки выполнены и простейшая балансировка уже начнет работать. Роутер начнет автоматически выбирать маршруты как через lte1, так и через lte2. Однако, чтобы иметь возможность маркировать и выборочно направить трафик через интерфейс lte2, нужно добавить несколько правил и создать отдельную таблицу маршрутизации.
Переходим в раздел Routing / Tables и создадим новую таблицу маршрутизации, которую так и назовем LTE2. Обязательно отмечаем использование FIB (Forwarding Information Base).
Добавление таблицы LTE2
Следующим шагом добавим новый статический маршрут в разделе IP / Routes, для того чтобы трафик из таблицы маршрутизации LTE2 направлялся только через указанный шлюз. В моем случае это IP адрес 192.168.8.1, соответствующий USB модему Huawei.
Добавление шлюза для таблицы LTE2
Остается только добавить правила в Firewall / Mangle, которые будут маркировать трафик. В моей домашней сети есть NAS с IP адресом 192.168.1.10. Так как NAS является получателем достаточно большого трафика, то весь внешний трафик логично пропустить через интерфейс lte2, на котором нет ограничений. Для этого можно сформулировать следующее правило: с адреса 192.168.1.10 на любой адрес, не относящийся к списку адресов Wireguard, ставится маркер маршрутизации LTE2.
Условия правила маркировки
Исключение со списком адресов WireGuard необходимо для того, чтобы не потерять доступ к NAS через VPN WireGuard. Если вы не используете доступ к домашней сети через VPN, то это условие можно не вводить.
На этом настройку можно считать завершенной. Трафик от NAS теперь будет ходить только через LTE WiFire. Ниже, для примера, скриншот истории загрузки примерно 140 ГБ данных на NAS.
Конечно, скептики могут сказать что и на WiFire есть ограничения, просто не был достигнут нужный объем, после которого они применяются. Что ж, возможно, но могу совершенно точно сказать, что этот порог явно превышает 1ТБ в месяц, что, по моему мнению, должно хватить для самых тяжелых сценариев.
Статистика трафика WiFire
Аналогичным образом, при желании, можно маркировать и направлять трафик через lte1.
Выбор маршрута для непомеченного трафика, т.е. для которого значение routing-mark не определено, Mikrotik осуществляет в соответствии с таблицей main. Это означает, что в итоге будут выбираться маршруты, проходящие как через интерфейс lte1, так и через lte2. Такой сценарий позволяет говорить о балансировке и при определенных условиях использовать входящую пропускную способность обоих каналов.
Распределение входящего трафика по интерфейсам
Конечно, такая простая схема имеет свои минусы, в том числе, связанные с резервированием, и ее можно улучшить, в том числе с помощью скриптов и анализа состояния каналов. Но об этом, пожалуй, как-нибудь в следующий раз.
Всех приветствую, решил написать статью, описывающую способ реализации отказоустойчивости на оборудовании Mikrotik.
В одной маленькой конторе, где я подрабатываю, из-за регулярных проблем у провайдера, задумались о подключении второго интернет канала, основного провайдера (не стабильного в последнее время) отключать не хотят, за много лет его использования тариф для фирмы не изменимся, да и скорость отличная, за те деньги + есть внешний IP и сотрудники офиса могут подключаться по VPN к офису, руководство о смене провайдера ничего слышать не хочет, это почти самый центр Москвы и с провайдерами там не очень весело.
Идея была в том что офис будет протянут новый канал и необходимо было реализовать следующую схему,
первый провайдер назовем его ISP1 (Глючный) и ISP2 (не имеет внешнего адреса только серый 10.57. ХХ. ХХ), опишу схему подробнее
ISP1 предоставляет сеть с белым IP который прилетает по DHCP, скорость 100 Мбит/с
ISP2 предоставляет сеть с серым IP адресом находящимся за NAT скорость 30 Мбит/с
Провайдер ISP2 нужен чтобы пересидеть, время недоступности основного канала, а офис мог функционировать с небольшими ограничениями.
Я пробежался по готовым статьям и не нашел того решения что меня устраивало на 100%, вот я и решил поделиться
своей наработкой с общественностью.
Я опишу свой способ, который без проблем работает как у 2х провайдеров которые выдают IP адреса по DHCP, так и у 2х провайдеров которые раздают статические адреса, как вы просчитали выше, у меня 2 сети- одна сеть конфигурируируется по DHCP, а вторая — статические адреса.
Данная схема, отработала уже более 2х лет, статистика сипользования
переключений в неделю — в среднем 3
среднее время использование резервного канала 12 мин
В качестве примера, для обозначения шлюзов я буду использовать эти, выдуманные мной адреса, вам их необходимо заменить на свои!!!
ISP1 шлюз 777.777.777.777
ISP2 шлюз 888.888.888.888
В качестве подготовки
Я не буду останавливаться на настройке маршрутизатора, пример настройки можно посмотреть в статье: Настройка MikroTik RouterBoard RB951G-2HnD, а перейдем сразу к делу.
Для начала переходим в меню настройки сетевых интерфейсов, интерфейс ether1 подключенный к провайдеру ISP1, мы переименуем в ether1-ISP1, чтобы было понятно за что он отвечает
Сетевой интерфейс ether2 подключен у нас к провайдеру ISP2, назовем его ether2-ISP2
Поступим с ним аналогичным образом.
Кратко опишу процесс работы по проверке работы канала и алгоритма переключения на резервный канал и обратно.
Выбираем IP адрес в интернете, с высокой степенью доступности, в качестве примера, буду использовать IP 8.8.8.8
Создаем правило фаерволла, которое разрешает прохождение пакетов только через основной канал с интерфейсом подключенным в ISP 1, в случае переключения на резервный канал, пакеты будут пытаться отправляться через новый маршрут по умолчанию, вот тут вступает правило фаерволла, которое прямо запрещает прохождение пакетов от маршрутизатора через интерфейс подключенный к ISP 2.
1 Настраиваем Firewall
Теперь нам надо перейти в во кладку Action, тут мы указываем что делать с пакетом, в нашей ситуации мы его выбрасываемAction: Drop
Жмем OK и сохраняем изменения.
2 Настраиваем маршрутизацию
Из скриншота мы видим что маршрутом по умолчанию 0.0.0.0/0 у нас является интерфейс подключенный к провайдеру ISP1, вот этим параметром мы и будем управлять, перенося его с одного интерфейса на другой.
Нам необходимо создать маршрут к IP 8.8.8.8 пакеты к которому, от маршрутизатора, будут идти только через ISP1
Жмем + и добавляем новый маршрут как на скришшоте
Для чего это все нужно?
Система будет проверять доступность этого IP адреса, через провайдера ISP1, если этот адрес не доступен, выполняется переключение на резервный канал, при этом система будут продолжать, с определенной периодичностью, пытаться достучаться до адреса 8.8.8.8, через провайдера ISP1. Тут возникает закономерный вопрос, а почему не проверять доступность шлюза провайдера?!
Бывают ситуации, что сеть провайдера работает нормально, а вот дальше, пакеты уже не летят, тогда не произойдет переключения на резервный канал и все будут сидеть без интернета, по этой причине необходимо проверять доступность адресов именно в глобальной сети!
3 Настраиваем Netwatch
Теперь настраиваем проверку и переключение на резервный канал, для этого, в RouterOS есть штатная утилита, которая называется Netwatch, она и будет проверять, с заданной периодичностью, состояние канала.
Где:Host: 8.8.8.8 — адрес по доступности которого мы будем проверять работоспособность основного каналаinterval: 00:03:00 — в моем примере, проверка будет проводиться каждые 3 мин, интервал проверки вы можете задать по своему усмотрению, данная схема у меня работает уже несколько лет и 3 мин, для меня, вполне приемлемое время, чаще не вижу смысла запускать проверки.
Переходим во вкладку UP в ней будет выполняться команда которая будет выполняться в случае доступности IP адреса, мониторинг которого мы выполняем:
Переходим во вкладку DOWN
Эта команда будет выполнена в случае недоступности IP адреса
Жмем OK, в списке у нас появится правило:
Где будет указывать интервал проверки, который мы задали, 3 мин, таймаут проверки 1000 мс или 1 сек и состояние UP, также дата и время последнего изменения состояния.
4 Тестирование
Это важный этап проверки работоспособности данной схемы!
Нам необходимо проверить работу системы переключения на резервный канал и возвращение на основной.
Нужно зайти в настройки сетевых интерфейсов Interfaces и выключить сетевой интерфейс ether1-ISP1 подключенный к ISP1
Открыв окно, netwatch, где можно наблюдать, как система запустит проверку и обнаружит что канал провайдера ISP1 не доступен, статус изменится на down и шлюзом по умолчанию, станет шлюз провайдера ISP2 888.888.888.888
На перестройку таблицы маршрутизации уходит примерно 30 сек, после этого интернет опять начинает работать. Можно зайти например на сайт 2ip.ru и увидеть что у вас IP адрес резервного провайдера.
Чтобы все вернуть обратно, просто включаем интерфейс ether1-ISP1, через 3 мин система обнаружит что доступ к IP 8.8.8.8 восстановлен и можно переключать на основной канал, сделав шлюзом, по умолчанию, шлюз провайдера ISP1 777.777.777.777
Снова заходим на 2ip.ru и видим что теперь у нас IP выданный провайдером ISP1
Зависимость нормальной работы предприятия от доступа в сеть интернет сегодня приобретает критический характер и перебои в работе провайдера могут привести к реальным убыткам или простою рабочих процессов, поэтому многие подключают резервные каналы других поставщиков услуг, чтобы использовать их для резервирования или балансировки нагрузки. В данном цикле статей мы рассмотрим работу с несколькими провайдерами на оборудование Mikrotik и сегодня расскажем про различные способы резервирования, а также их достоинства и недостатки.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В данной статье мы не будем рассматривать базовую настройку роутера: выход в интернет, правила брандмауэра и т.п., будем считать, что читатель владеет этими вещами и уделим внимание только обеспечению резервирования внешних каналов.
Данная статья предназначена для RouterOS 6.x
Ниже показана схема, реализованная в нашей лаборатории с указанием адресов и интерфейсов, подключенных к двум условным провайдерам, а также их шлюзы.
Для правильной работы всех описанных ниже способов вам потребуется отключить динамическое добавление маршрутов, которое может быть включено если вы получаете сетевые настройки от провайдера по DHCP или используете PPPoE:
Важно! Во время выполнения операций с настройкой маршрутов у вас кратковременно пропадет доступ в интернет. Поэтому все указанные действия следует выполнять имея физический доступ к устройству.
Хотя можно обойтись и без этого, просто перед настройкой создайте дополнительный нулевой маршрут через основной шлюз и укажите ему самую меньшую административную дистанцию. Но помните, что любое неверное ваше действие грозит потерей сетевого доступа к устройству из внешней сети.
Резервирование на основе дистанции маршрута
Самый простой, можно даже сказать примитивный способ, в этом случае мы добавляем два маршрута с разной административной дистанцией и включаем проверку доступности шлюза для них.
Для этого перейдем в IP — Routes и добавим маршрут к первому провайдеру: Dst. Address — оставляем по умолчанию — 0.0.0.0/0, Gateway — указываем шлюз первого провайдера, в нашем случае 192.168.3.1, включаем механизм проверки доступности шлюза — Check Gateway — ping, и устанавливаем административную дистанцию маршрута — Distance — 1.
Эти же действия в терминале:
/ip routeadd check-gateway=ping distance=1 gateway=192.168.3.1
Аналогичным образом добавляем маршрут ко второму провайдеру, только указываем административную дистанцию Distance — 2. В данном случае абсолютные цифры не так важны, при наличии нескольких маршрутов к одному адресу назначения работать будет тот, у которого административная дистанция меньше.
Или в терминале:
/ip routeadd check-gateway=ping distance=2 gateway=192.168.233.2
После этого у вас появится интернет и будет активен маршрут через первого провайдера:
Теперь имитируем аварию, в нашем случае мы просто отключим патч-корд от интерфейса ether1, через небольшое время роутер обнаружит недоступность шлюза и сделает маршрут не активным, после чего автоматически заработает маршрут через второго провайдера и трафик пойдет туда.
После восстановления доступности шлюза провайдера обратное переключение произойдет автоматически.
Резервирование при помощи рекурсивной маршрутизации
Предыдущий способ имеет один серьезный недостаток, он проверяет доступность шлюза провайдера, но не проверяет наличие интернета за этим шлюзом, и вы можете оказаться в ситуации, когда интернет отсутствует, но переключения на резервный канал не произошло. Чтобы избежать такой ситуации следует проверять доступность не шлюза провайдера, а внешних высокодоступных узлов.
Один из методов, позволяющих это сделать, называется рекурсивной маршрутизацией, мы подробно рассматривали ее в отдельной статье, поэтому здесь просто покажем последовательность настройки, не вдаваясь в подробности.
Резервирование каналов в Mikrotik при помощи рекурсивной маршрутизации
Прежде всего выберем два высокодоступных узла, в нашем случае это будут 8.8.8.8 и 9.9.9.9 и пропишем к каждому из них маршрут через шлюзы первого и второго провайдеров.
Переходим в IP — Routes и создаем маршрут: Dst. Address — 8.8.8.8 — узел для проверки первого провайдера, Gateway — 192.168.3.1 — шлюз первого провайдера, Distance — 1, Scope — 10. Обратите внимание на значение области (Scope), если вы оставите там значение по умолчанию — 30, то рекурсивная маршрутизация работать не будет! Затем добавим второй аналогичный маршрут, но уже к узлу 9.9.9.9 через шлюз второго провайдера.
Тоже самое быстро в терминале:
/ip routeadd distance=1 dst-address=8.8.8.8/32 gateway=192.168.3.1 scope=10add distance=1 dst-address=9.9.9.9/32 gateway=192.168.233.2 scope=10
Теперь добавим рекурсивные маршруты для каждого из провайдеров со следующими настройками: Dst. Address оставляем по умолчанию — 0.0.0.0/0Gateway — 8.8.8.8 — высокодоступный узел для первого провайдера, Check Gateway — ping — указываем проверку доступности шлюза, Distance — 1. Для второго провайдера все тоже самое, но Gateway — 9.9.9.9 и Distance — 2.
В терминале воспользуйтесь командами:
/ip routeadd check-gateway=ping distance=1 gateway=8.8.8.8add check-gateway=ping distance=2 gateway=9.9.9.9
Мы сейчас не будем вдаваться в подробности как это работает, для этого есть отдельная статья, но общий смысл заключается в том, что рекурсивные маршруты в итоге работают через реальные шлюзы провайдеров, но проверяют доступность не провайдерского шлюза, а высокодоступного узла за ним. Если связь пропала — маршрут деактивируется и начинает работать следующий, с большей дистанцией.
На рисунке ниже мы можем видеть, что активный маршрут переключился на резервный канал несмотря на то, что шлюз основного провайдера доступен:
При восстановлении работы первого провайдера обратное переключение произойдет автоматически.
Резервирование при помощи Netwatch
/ip routeadd comment=ISP1 distance=1 gateway=192.168.3.1add comment=ISP2 distance=2 gateway=192.168.233.2
Затем выбираем высокодоступный хост и добавляем к нему маршрут через первого провайдера:
Затем переходим в Tools — Netwatch и добавляем там новый узел, на закладке Host указываем адрес выбранного высокодоступного узла, при необходимости меняем интервал опроса.
На закладе Up вводим следующий скрипт:
Затем на закладке Down:
Их смысл предельно прост, если узел через первого провайдера доступен, то включаем маршрут с меткой ISP1, а маршрут с меткой ISP2 выключаем, если недоступен — то делаем ровно наоборот.
В терминале все это можно быстро сделать при помощи «заклинания»:
Для проверки блокируем доступ через первого провайдера и убеждаемся, что переключение происходит:
Обратное переключение произойдет автоматически после восстановления связи с высокодоступным узлом.
