Comments 41
Осталось добавить метки пакетов\соединений и выпускать уходящий пакет через интерфейс в который он пришел и будет полный шоколад :) как-то так
и к шлюзам в ip\route добавить routing-mark=интерфейс_r на подобии этого:
останется только менять у def-gw значение gateway (что аналогично примеру выше)… вот.
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=no in-interface=nlink-ppp new-connection-mark=nlink_c passthrough=yes
add action=mark-connection chain=prerouting disabled=no in-interface=dlink-ppp new-connection-mark=dlink_c passthrough=yes
add action=mark-routing chain=prerouting connection-mark=nlink_c disabled=no new-routing-mark=nlink_r passthrough=yes
add action=mark-routing chain=prerouting connection-mark=dlink_c disabled=no new-routing-mark=dlink_r passthrough=yes
и к шлюзам в ip\route добавить routing-mark=интерфейс_r на подобии этого:
/ip route
add comment=gw-nlink disabled=no distance=1 dst-address=0.0.0.0/0 gateway=nlink routing-mark=nlink_r scope=30 target-scope=10
add comment=gw-dlink disabled=no distance=1 dst-address=0.0.0.0/0 gateway=dlink routing-mark=dlink_r scope=30 target-scope=10
add comment=gw-def disabled=no distance=1 dst-address=0.0.0.0/0 gateway=nlink scope=30 target-scope=10
останется только менять у def-gw значение gateway (что аналогично примеру выше)… вот.
Failover на микротике делается гораздо проще и без скриптов за счет цепочек гейтвеев:
wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting
Подсказал бы лучше кто, где найти конвертер из iptables в формат routerOS…
wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting
Подсказал бы лучше кто, где найти конвертер из iptables в формат routerOS…
Спасибо, интересная ссылка. Я правильно понял, что идея в том, чтобы объявить некий удалённый хост фиктивным шлюзом, тогда его доступность можно проверять с помощью стандартных средств Router OS. Но задача переключения шлюза по-умолчанию всё-таки должна решаться внешним скриптом?
Шлюз используется первый доступный (с сортировкой по distance).
Смысл в том, что описанный в статье механизм по сути использует рекурсивный маршрут как обычный. То есть правила
/ip route
add dst-address=Host1 gateway=GW1 scope=10
add dst-address=Host2 gateway=GW2 scope=10
add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=Host2 routing-mark=ISP1 check-gateway=ping
эквивалентны
/ip route
add distance=1 gateway=GW1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=GW2 routing-mark=ISP1 check-gateway=ping
за тем исключением, что доступность маршрута проверяется пингом не на GWx, а на Hostx. Соответственно пинг не прошел — маршрут считается неактивным и роутер переключается на следующий по distance. Если пинги снова пойдут, роутер переключится обратно.
Я не до конца понимаю, как эта схема работает, но факт что она работает именно так.
Смысл в том, что описанный в статье механизм по сути использует рекурсивный маршрут как обычный. То есть правила
/ip route
add dst-address=Host1 gateway=GW1 scope=10
add dst-address=Host2 gateway=GW2 scope=10
add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=Host2 routing-mark=ISP1 check-gateway=ping
эквивалентны
/ip route
add distance=1 gateway=GW1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=GW2 routing-mark=ISP1 check-gateway=ping
за тем исключением, что доступность маршрута проверяется пингом не на GWx, а на Hostx. Соответственно пинг не прошел — маршрут считается неактивным и роутер переключается на следующий по distance. Если пинги снова пойдут, роутер переключится обратно.
Я не до конца понимаю, как эта схема работает, но факт что она работает именно так.
К этому надо попробовать прикрутить vrrp еще, и будет отличное решение в офис!
wiki.mikrotik.com/wiki/Manual:Interface/VRRP Собственно поддержка там уже есть, никаких проблем кроме чисто технических: как объяснить начальству зачем нужны две (три, четыре...) таких железки, а не одна.
Да я уже можно сказать настроил, дело только было за переключением каналов.
Ну объяснять иногда не надо. Коробки кстати у нас на базе Axiomtek NA-813.
На текущий момент довольно (как готовое решение)
Хотя я тут хочу взять что нибуть на ARM с 4 сетевыми картами нормальными, но судя по тому, что некто не производит их — это пока что мечты.
Ну объяснять иногда не надо. Коробки кстати у нас на базе Axiomtek NA-813.
На текущий момент довольно (как готовое решение)
Хотя я тут хочу взять что нибуть на ARM с 4 сетевыми картами нормальными, но судя по тому, что некто не производит их — это пока что мечты.
Возникла идея как реализовать на микротике одну штуку. Полез с работы по удалёнке домой. Потом вспомнил, что «удалённая настройка фаерволла — к выезду». Лучше уж на пару часов отложу.
PS Кстати, железка такая же дома стоит. Работает отлично. Первый роутер который действительно «настроил и забыл», ни глюков, ни зависаний. И так же первый роутер, который я не боюсь обновлять( ну чисто от нечего делать).
Согласен на все 100! За 3 месяца ни одной проблемы. С содроганием вспоминаю DLink-2500 в режиме роутера, который пришлось подвесить на верёвочке дабы не перегревался.
Я сейчас немного жалею, что не удалось купить вот такой RB751G-2HnD, приходиться отдельную точку доступа держать.
Я сейчас немного жалею, что не удалось купить вот такой RB751G-2HnD, приходиться отдельную точку доступа держать.
О, у меня как раз RB751G-2HnD. Мощность вайфая для такой мелкой коробочки без внешней антенны меня практически пугает, по всей квартире ловит на 5/5, хотя стоит далеко не в центре.
+1 — у меня 750G второй год. И аптайм почти такой же :)
Когда я покупал этот роутер RB751G-2HnD не было ещё в продаже. Стоит на 1000 дороже. Я бы наверное взял. А сейчас dlink Dir 615 прошитый openwrt работает как точка доступа. Железо у длинка неплохое, но вот родные прошивки — это ужас. ОпенВРТ исправляет положение, но памяти мало, чтобы развернуться на полную мощь такому железу. Было бы флеша 16-32 Мб — отличная вещь бы получилась.
Не первый раз слышу про Mikrotik. Чем он так хорош? Тем что дешев и работает?
Плюс микротика — огромная гибкость и надёжность за вменяемые деньги.
Минус — сложная по сравнению с ширпотребом настройка.
Минус — сложная по сравнению с ширпотребом настройка.
Еще пару вопросов:
Настройка только через конфиги/shell?
Пробовали в коммерческом применении?
Настройка только через конфиги/shell?
Пробовали в коммерческом применении?
1. Не обязательно. Есть Web-интерфейс и утилита winbox. Мне больше всего нравиться winbox, 99% настроек через нее делаются.
2. Смотря что понимать под коммерческим применением. У меня статистика не очень большая, но 3 дружественных офиса пользуются и радуются. Как верно отмечали в комментарии выше: «Настроил и забыл».
2. Смотря что понимать под коммерческим применением. У меня статистика не очень большая, но 3 дружественных офиса пользуются и радуются. Как верно отмечали в комментарии выше: «Настроил и забыл».
UFO just landed and posted this here
Тем, что сравнительно дешев для своей функциональности и работает получше более именитых аналогов (речь о потребительском сегменте, т.е. zyxel, dlink, netgear, etc)
А что касается функциональности… Посмотрите просто на сайте у них. Или RouterOS поставьте на виртуалку и посмотрите. Сравнимо с цисками местами.
А что касается функциональности… Посмотрите просто на сайте у них. Или RouterOS поставьте на виртуалку и посмотрите. Сравнимо с цисками местами.
Много функций, оптимально цена — качества.
Гданое не начинайте делать магистральные каналы на них, и потом говорить что они плохи :)
Гданое не начинайте делать магистральные каналы на них, и потом говорить что они плохи :)
В Латвии, кстати, эти железки продаются значительно дешевле, чем в России.
Есть такое дело :(
Для уже упомянутого RB751G-2HnD, разница получается где-то $20 + доставка. Если не лень ждать, то можно на ebay заказать.
Для уже упомянутого RB751G-2HnD, разница получается где-то $20 + доставка. Если не лень ждать, то можно на ebay заказать.
Если заказывать толпой, но нормально. Доставка 35 долларов плюс хитрые проценты (немного).
Я брал четыре штуки RB751G-2HnD — вышел каждый по 2000 р. со всеми расходами.
Брал тут: ru.eurodk.com/catalogue/integrated_solutions
Я брал четыре штуки RB751G-2HnD — вышел каждый по 2000 р. со всеми расходами.
Брал тут: ru.eurodk.com/catalogue/integrated_solutions
Сорри. Я покупал RB751U-2HnD, вот только никак не пойму чем он сильно отличается от RB751G-2HnD
В 751G 7242, вместо 7241 Atheros CPU (хотя частота одинаковая), RAM 64MB (в отличии от 32 у U версии), ну и конечно же гигабитные порты :)
Я это понимаю. Но зная мощь этих процов, не вижу смысла в этом, ибо гигабит оно все равно не прожует.
Да и гигабитный инет дома не каждый имеет )
Да и гигабитный инет дома не каждый имеет )
У моего RB750GL тоже 5 гигабитных портов, так вот 2 у меня выделено для WAN, о остальные объединены в аппаратный свитч — вполне себе шустро работает. Точную скорость не замерял, но точно быстрее 100 Мб.
смотря в каком режиме. NAT может и не прожует (зависит от размера пакетов).
в чистом свитчинге — легко.
в чистом свитчинге — легко.
Скажем так — изначально такие решения не были ориентированы для домашнего сегмента. Говоря о железе — гигабитными порты названы немного лукаво. Сейчас дома работает RB450G, гигабит у него только между 1 и 2 портами, остальные порты — до 650Мбит. Железо в нормальном (не разогнанном и не замедленном) режимах нормально маршрутизирует ~60k & ~65k pps для 1500 и 512 b пакетов соответственно.
Смотря чем и как грузить. Если вы будете делать шейперы + крутить правила, то тут и память и проц очень сильно пригодятся. На тему каналов, тут зависит от модели. У меня RB450G, перавый порт полноценный 1gb между остальными, все другие 650.
UFO just landed and posted this here
Очень интересный пример, только стоило сначала пообщаться со службой поддержки. Для всех, кто попробует это сделать таким же образом, цитирую.
interface setting for ping is not working for IPv4, that is IPv6 feature only so you could pink Link-Local addresses. If it works for ipv4 that is only coincidence, and it can/will brake even without reboot or version upgrade.
so you could try to ping IPv6 LL address
Проверка валидности интерфейса таким образом некорректна. Для интереса я проверил на 3х разных моделях и разных интерфейсах и действительно, есть случаи, когда пинг через интерфейс не работает!
interface setting for ping is not working for IPv4, that is IPv6 feature only so you could pink Link-Local addresses. If it works for ipv4 that is only coincidence, and it can/will brake even without reboot or version upgrade.
so you could try to ping IPv6 LL address
Проверка валидности интерфейса таким образом некорректна. Для интереса я проверил на 3х разных моделях и разных интерфейсах и действительно, есть случаи, когда пинг через интерфейс не работает!
Очень удобно использовать эту комманду, но в RouterOs 6* при добавлении маршрута таким способом пинг не проходит:
/ip route
add comment=MainGW disabled=no distance=1 dst-address=0.0.0.0/0 gateway=nlink scope=30 target-scope=10
Для динамического IP мне пришлось писать скрипт
/ip route
add comment=MainGW disabled=no distance=1 dst-address=0.0.0.0/0 gateway=nlink scope=30 target-scope=10
Для динамического IP мне пришлось писать скрипт
Sign up to leave a comment.
Mikrotik OS и автоматическое переключение на резервный канал