MikroTik и два канала в интернет. Часть 1 — Интернет для локальной сети.

Предлагаю вашему вниманию пример настройки MikroTik RouterOS на самой популярной, на сегодняшний день, версии v3.20 для работы с двумя провайдерами и публикации интернет-сервисов за маршрутизатором. При этом интернет-сервисы смогут автоматически отвечать по запросам пришедшим с обоих провайдеров.

Часть 1. Настройка выхода в интернет из локальной сети и базовая защита маршрутизатора.

Пример сделан на абсолютно чистой конфигурации. Из-за моей специфики я добавил всего-лишь несколько vlan-ов.

У меня в системе два физических интерфейса, из которых один смотрит в локальную сеть (ether2), а на другом (ether1) подключены два vlan-а.
Наличие vlan-ов вас не должно пугать, просто замените их на название ваших сетевых интерфейсов.

И так, структура сети следующая:
локальная сеть, интерфейс ether2, адрес 192.168.8.35/24
первый провайдер: интерфейс vlan54, адрес 89.15.64.9/26
второй провайдер: интерфейс vlan40, адрес 82.19.115.100/29

Начнем, с включения сетевых интерфейсов, если они по какой-то причине у вас выключены:

interface enable ether1
interface enable ether2
interface enable vlan54
interface enable vlan40

Результат:

[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU
0 R ether1 ether 1500
1 R ether2 ether 1500
2 R vlan40 vlan 1500
3 R vlan54 vlan 1500
[admin@MikroTik] >

Добавляем ip адреса:

ip address add address=192.168.8.35/24 interface=ether2 comment="local
ip address add address=82.19.115.100/29 interface=vlan40 comment="isp1"
ip address add address=89.15.64.9/26 interface=vlan54 comment="isp2"

Должно получиться следующее:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         BROADCAST       INTERFACE
0   ;;; local
192.168.8.35/24    192.168.8.0     192.168.8.255   ether2
1   ;;; isp2
89.15.64.9/26      89.15.64.0      89.15.64.63    vlan54
2   ;;; isp1
82.19.115.100/29   82.19.115.96    82.19.115.103  vlan40
[admin@MikroTik] >

После этого, если все кабели подключены то у нас должны пинговаться адреса в локальной сети и шлюзы провайдеров:

[admin@MikroTik] > ping 192.168.8.2
192.168.8.2 64 byte ping: ttl=255 time<1 ms
192.168.8.2 64 byte ping: ttl=255 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/0.0/0 ms
[admin@MikroTik] > ping 82.19.115.97
82.19.115.97 64 byte ping: ttl=255 time=12 ms
82.19.115.97 64 byte ping: ttl=255 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/6.0/12 ms
[admin@MikroTik] > ping 89.15.64.2
89.15.64.2 64 byte ping: ttl=255 time=10 ms
89.15.64.2 64 byte ping: ttl=255 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/5.0/10 ms
[admin@MikroTik] >

На этом этапе, если хотите, можете подключиться к маршрутизатору через WinBox

Базовая защита маршрутизатора (входящие соединения на сам маршрутизатор):

ip firewall filter add chain input connection-state=invalid action=drop comment="Drop invalid connection packets"
ip firewall filter add chain input connection-state=established action=accept comment="Allow established connections"
ip firewall filter add chain input connection-state=related action=accept comment="Allow related connections"
ip firewall filter add chain input protocol=udp action=accept comment="Allow UDP"
ip firewall filter add chain input protocol=icmp action=accept comment="Allow ICMP Ping"
ip firewall filter add chain input src-address=192.168.8.0/24 action=accept comment="Access to router only from local network"
ip firewall filter add chain input action=drop comment="All other inputs drop"

У нас должно получиться следующее:

[admin@MikroTik] > ip firewall filter print chain input
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid
1   ;;; Allow established connections
chain=input action=accept connection-state=established
2   ;;; Allow related connections
chain=input action=accept connection-state=related
3   ;;; Allow UDP
chain=input action=accept protocol=udp
4   ;;; Allow ICMP Ping
chain=input action=accept protocol=icmp
5   ;;; Access to router only from local network
chain=input action=accept src-address=192.168.8.0/24
6   ;;; All other inputs drop
chain=input action=drop
[admin@MikroTik] >

Настраиваем выход в интернет из локальной сети:

ip firewall nat add chain=srcnat action=masquerade src-address=192.168.8.0/24 out-interface=vlan40
ip firewall nat add chain=srcnat action=masquerade src-address=192.168.8.0/24 out-interface=vlan54

Разрешаем маршрутизацию служебных пакетов через сам маршрутизатор:

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"
ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"
ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"
ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"
ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

Разрешаем выход в интернет для всех адресов из локальной сети:

ip firewall filter add chain forward in-interface=ether2 src-address=192.168.8.0/24 action=accept comment="Access to internet from local network"

Все остальные пакеты проходящие через маршрутизатор блокируем:

ip firewall filter add chain forward action=drop comment="All other forwards drop"

Результат:

[admin@MikroTik] > ip firewall filter print chain forward
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; fake 10.0.0.0/8
chain=forward action=drop src-address=10.0.0.0/8 in-interface=!ether2

1   ;;; fake 172.16.0.0/12
chain=forward action=drop src-address=172.16.0.0/12 in-interface=!ether2

2   ;;; fake 192.168.0.0/16
chain=forward action=drop src-address=192.168.0.0/16 in-interface=!ether2

3   ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

4   ;;; Allow established connections
chain=forward action=accept connection-state=established

5   ;;; Allow related connections
chain=forward action=accept connection-state=related

6   ;;; Allow UDP
chain=forward action=accept protocol=udp

7   ;;; Allow ICMP Ping
chain=forward action=accept protocol=icmp

8   ;;; Access to internet from local network
chain=forward action=accept src-address=192.168.8.0/24 in-interface=ether2

9   ;;; All other forwards drop
chain=forward action=drop
[admin@MikroTik] >

А теперь, чтобы пользователи действительно могли выйти в интернет, необходимо добавить правило маршрутизации.
Я специально делаю чтобы по умолчанию все исходящие соединения шли через одного конкретного провайдера (isp1), а второй пока пусть будет отключен.

ip route add dst-address=0.0.0.0/0 gateway=82.19.115.97 comment="gw1"
ip route add dst-address=0.0.0.0/0 gateway=89.15.64.2 comment="gw2" disabled=yes

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY-STATE GATEWAY                                     DISTANCE INTERFACE                          
0       0.0.0.0/0                          reachable     82.19.115.97                                1        vlan40                             
1 ADC  82.19.115.96/29    82.19.115.100                                                             0        vlan40                             
2 ADC  89.15.64.0/26      89.15.64.9                                                                0        vlan54                             
3 ADC  192.168.8.0/24     192.168.8.35                                                              0        ether2                             
[admin@MikroTik] >

Желающие использовать балансировку одинаково распределенную между двумя провайдерами укажите вместо адреса шлюза одного провайдера, через запятую, адреса обоих.
На этом первая часть настройки маршрутизатора завершена. Результаты её: маршрутизатор защищен от вторжений из вне, и пользователи из локальной сети имеют выход в интернет.

Источник http://papa-admin.ru/blog/mikrotik/mikrotik-i-dva-kanala-part1.html

Запись опубликована в рубрике *Сети, MikroTik. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не спамер This plugin created by Alexei91