23T45 Dual WAN i Policy Based Routing [Konfiguracja Mikrotik]

Link do artykułu.

0:00 Wprowadzenie

1:16 Topologia

1:54 Przygotowanie Opcji z Dual WANem

3:26 Konfiguracja

7:50 Policy Based Routing

14:55 Podsumowanie

Transkrypcja

Cześć. Dzisiaj chciałbym wam pokazać jak zapewnić sobie nadmiarowość w przypadku awarii połączenia z internetem. Obecnie wszyscy dostawcy mają określony poziom dostępu do usługi ale nikt nie da nam 100% gwarancji. W większości przypadków będzie ona na poziomie minimum 95% ale czy tak naprawdę wiemy jak to jest liczone? Jak mówi stare porzekadło nie ważne jak coś jest liczone tylko ważne kto liczy i właśnie na okoliczność powinniśmy wyposażyć się w jakiś mechanizm obronny jakim jest zapasowe łącze. W urządzeniach otrzymywanych od dostawców brak jest takiej wbudowanej opcji. Natomiast po to mamy routerOS aby taki feature stworzyć sobie samodzielnie a powiem nawet, że pójdziemy o krok dalej aby w pełni zutylizować dwa łącza. Ruch z jednego segmentu będzie wychodził poprzez dostawcę A, natomiast równolegle ruch z inego segmentu przepuścimy sobie przez dostawcę B. Da nam to nie tylko nadmiarowość łącza ale też szansę na to aby połączyć się do urządzenia poprzez innego dostawcę. Zaczynamy.

Spójrzmy zatem na naszą topologię. Switch S0 będzie pełnił rolę chmury w której jest kilku dostawców. My oczywiście będziemy korzystać dwóch dostawców. Jeden będzie udostępniał nam internet łączem poprzez VLAN 12, drugi poprzez VLAN 13 i w pierwszej opcji skonfigurujemy to tak, żeby laptop pierwszy miał wyjście obojętnie przez które łącze. Natomiast w opcji drugiej, laptop drugi, który będzie w VLANie 45 będzie wychodził równolegle tylko poprzez VLAN 13 do internetu. Przejdźmy zatem do naszego Mikrotika.

Zaczniemy od przygotowania opcji z Dual WANem. Czyli wprowadzamy po pierwsze adres sieci po stronie LAN. 10.0.12.1/24 10.0.12.0 na ether3. Oj tutaj o jedno… O jedną kropkę pomyłka. Teraz dla ether3 musimy uruchomić nasz serwer. Czyli wpisujemy. 10.0.12.0/24 Na Gateway’u 10.0.12.1 dajemy DNS serwery. Apply, ok i tworzymy nasz serwer DHCP. Może być pod nazwą serwer. Przypinamy ether3 Dajemy tutaj dzierżawę na 1 godzinę, 10 minut, wybieramy pulę, klikamy Apply.

Zaraz powinno pojawić się urządzenie, o i już mamy naszego laptopa i teraz możemy przejść do konfiguracji Dual WANu. Czyli musimy wskazać w Routes jeszcze jedną trasę do internetu i tutaj wskazujemy… wskazujemy trasę do internetu poprzez interfejs 192.168.13.1 z dystansem 2. Apply. Ok. Jak widzimy nasza trasa jest nie aktywna ponieważ ma dalszy priorytet wykorzystywana jest trasa domyślna natomiast to co jeszcze powinniśmy zrobić to zapewnić maskaradę dla tego drugiego wyjścia.

Więc wchodzimy w Firewall, zakładka NAT i to już mamy wprowadzoną maskaradę tą różnicą, że tylko interfejsem wyjściowym jest wskazany ether1, tak. Czyli jak odłączymy sobie pierwsze łącze no to niby trasa przełączy się na tą drugą, podświetloną, natomiast router nie będzie wiedział, którym interfejsem wyjść na zewnątrz i w tym celu powinniśmy sobie na liście interfejsów zrobić interfejs logiczny, który będzie się nazywał WAN i dodać teraz do niego interfejsy czyli zarówno WANem będzie ether1 jak i WANem będzie ether5 i teraz jeżeli tutaj zmienimy Out. interface na Out. Interface List i bierzemy sobie WAN jako logiczny interface, to teraz bez względu na to czy będzie to realizowane poprzez tą trasę czy poprzez tą trasę czyli poprzez ether1 albo ether5 zawsze to będzie rozumiane jako WAN.

Teraz żeby sprawdzić działanie naszej konfiguracji odpalimy sobie AnyDeska. Pozostawimy sobie jedynie widoczne te dwie trasy i tutaj sprawdzimy sobie przez którą trasę wychodzi nam połączenie czyli wykonujemy tracert’a do ósemek i widzimy, że wychodzimy sobie przez interfejs operatora numer czy tam nr 1, interfejsem 12.1 i teraz postaramy się zasymulować brak internetu od dostawcy A. W tym celu ja sobie przejdę na Switch i wyłączę interfejs odpowiadający za operatora A. Ok odłączyłem, zaraz powinno nas stąd wyciąć. Tak jest, zaraz sobie tu przywrócimy połączenie z naszym laptopem ale wejdziemy na router ten sam przez drugiego operatora. Przywróciliśmy połączenie i tu sprawdzamy jak wygląda kwestia z trasami i teraz widzimy, że trasa która była z dystansem 1 jest nieaktywna, uaktywniła się trasa z 2 i teraz możemy sprawdzić jaką trasą lecimy do ósemek. 12.1 nasz router i potem 13.192.168.13.1 czyli wychodzimy operatorem drugim. Tu wychodziliśmy operatorem pierwszym bo było 12.1, tutaj jest 13.1 więc wszystko działa prawidłowo i zaraz zabierzemy się za opcję drugą.

Czyli Policy Based Routing. W tym celu skonfigurujemy sobie dodatkowy VLAN i zaczniemy od przypisania adresu. To stare ustawienie możemy chyba zlikwidować i przepiszemy sobie adres dla VLANu. Najpierw stworzymy oczywiście VLAN. Niech to będzie vlan45 z tagiem 45, który będzie na bridge. Apply, ok. Teraz przypiszemy do niego adres 10.0.45.1 z maską 24 w sieci 10.0.45.0 i będzie przypisany do vlanu 45, Ok, mamy vlan, mamy adres. Teraz musimy stworzyć Pool’a i nazwijmy go może vlan45 adres 10.0.45.2-10.0.45.10
Tu tworzymy networka 10.0.45.0/24 na 10.0.45.1 DNS serwery wskażmy mu czwórki na końcu.

Stwórzmy teraz DHCP. Niech on się nazywa vlan45 dla vlan45 i z puli vlan45. Zmieńmy mu dzierżawę na godzinę 10 i teraz jeżeli to mamy wszystko dodane przechodzimy sobie na bridge i dodajemy po pierwsze vlan’y. Do bridge dodajemy vlan45, który będzie tagowany na Bridge i nie tagowany na ether3 i teraz włączamy czy też dodajemy porty… dodaj port ether3. Apply. Z PVID. Apply i na Bridge włączmy VLAN Filtering. Apply, ok i za kilka chwil powinien pojawić się nam nasz laptop i jak widzimy wskoczyła nam dzierżawa więc teraz możemy zająć się robieniem porządku w Route.

W tym celu na początku musimy przywrócić działanie łącza podstawowego. Już włączam interfejs na switchu i zaraz powinna wrócić… o właśnie widzimy zmieniło się, wróciła trasa podstawowa. Trasa zapasowa jest na razie wyłączona. Teraz możemy zrobić pewną konfigurację na Firewallu a w zasadzie na zakładce. Na zakładce Mangle i dodajemy reguły re-routingu aby wyłapać po pierwsze nasze połączenie z vlanu45 a później powiedzieć, że wszystko co jest wyłapane z vlanu45 ma lecieć przez odpowiednią trasę na zakładce routes i w tym celu otwieramy sobie nową regułę.

Na łańcuchu prerouting wskazujemy interfejs wpadający. Czyli jeżeli wpada nam wszystko do routera z vlanu45 i nie ma oznaczenia trasy to wykonaj
akcję która zamarkuje czyli oznaczy nam to połączenie i to połączenie możemy sobie nazwać from VLAN45 i zostawiamy zaznaczone opcje przepuszczaj. Apply i następną regułą, którą dodajemy jest wyłapanie tego oznaczonego ruchu czyli znowu na łańcuchu prerouting wykonujemy opcję jeżeli jest zaznaczone czy też naznaczone nasze połączenie, które oczywiście pochodzi z interface vlan45.

Wykonaj taką akcję, że nadaj mu nowy znacznik do routingu i na przykład wpiszmy sobie przez ether5 i też przepuszczamy dalej. Ok. Mamy dwie takie reguły w Mangle i teraz do tego musimy zrobić tutaj małą zmianę czyli powiedzieć, że jeżeli chcesz wychodzić do internetu przez ten interfejs to ruch, który będzie oznaczony przez Ethernet 5, przepuszczaj równolegle z pierwszym wpisem tablicy routingu. Apply, ok i teraz widzimy, że dwa wpisy są uruchomione niezależnie, tak. Jeżeli to puszczamy przez defaultową tablicę routingu, jest ono aktywne. Jeżeli przepuszczamy ruch, który został oznaczony, wyprowadź przez ether5, też ma być to aktywne.

Sprawdzamy to oczywiście uruchamiając naszego AnyDeska, przechodzimy na wiersz poleceń i pingujemy czy też patrzymy jaką trasą… Jaką trasę pokonuje do ósemek. Pierwsza hopka jest do naszego routera, druga przez router, przez interfejs vlanie13 czyli przez naszego dostawce B mimo tego, że trasa domyślna, pierwsza jest tak samo aktywna to cały ruch biegnie poprzez tą trasę.

W taki oto sposób dodajemy kolejną warstwę bezpieczeństwa do naszej infrastruktury. Czy będzie to zmiana na miarę naszych oczekiwań zależy wyłącznie od tego któremu dostawcy zaufacie ale na pewno przybliży was do tytułu pracownika miesiąca lub nominowania do uścisku dłoni prezesa. A tak zupełnie na poważnie napomknijcie swoim przełożonym że taka zmiana jest możliwa i czasem przydatna. Najbardziej w tym momencie w którym się nie spodziewamy. Choć czasem co za dużo to niezdrowo, nadmiarowość jest dobra i wcale nie musi trzymania zapasu w szafie co zamierzam udowodnić w następnym materiale jeżeli jeszcze ten nie przekonał nieprzekonanych. Do zobaczenia.