@remzalp
Программер чего попало на чем попало

Автоподключение резервного канала интернета. Есть замена микротику?

Есть проблема в удаленном офисе - относительно нестабильный интернет.
Входит 2 провайдера - PPPoE по оптике через медиаконвертор и WiMax роутер отдает ethernet.

Требуется обеспечить офис вайфаем, возможностью удаленного впн подключения в сеть, проброса портов и автоматическим переключением на резервного провайдера. Возможно поддержка заодно 4G модема.

Просто балансировка нагрузки между провайдерами не вариант - альтернативный канал хорошо лагает.

На данный момент работает на входе MikroTik RB951G-2HnD, поднятие резервного канала реализовано через 2 маршрута с пингом гейта по оптике
(
/ip route add gateway=192.168.1.1 check-gateway=ping
/ip route add gateway=192.168.2.1 distance=2
).

Переключаться получается, а вот обратно переключение разве что с перезагрузкой.
Костыльные велосипеды на скриптах тоже стабильностью и предсказуемостью не блещут.

Нужна железка уровня запустил и забыл где она находится.
Текущая ситуация начальство так достала, что есть бюджет в пределах 1000 долларов.

На данный момент есть вот такой весёлый баг
forum.mikrotik.com/viewtopic.php?f=2&t=99179

Что выбрать (и на что мозгов хватит)? Или как настроить один раз и навсегда микротика?

UPD: смотрю в сторону цисок, хотя там тоже есть свой треш и угар.

UPD2: в качестве альтернативы была рекомендована Cisco 881, отложу это на очень далёкое будущее, хотя фрагмент конфига, отвечающий за собственно failover оказался заметно лучше решения на микротике:

track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 X.X.X.X track 1 Здесь роут через Def GW 1-го прова
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y 20 - Здесь роут через Def GW 2-го прова
ip sla 1
icmp-echo 77.88.8.8 source-interface Dialer1
frequency 5
ip sla schedule 1 life forever start-time now

плюс обработчик эвента, который чистит таблицы nat translation

С полки достал старый пыльный Zyxel Keenetic со второй версией прошивки. Да. галочки нужные есть, можно было и на нём поднять решение, но Wi-Fi у него слабоват для тех условий (с него переехали на микротика)

FINAL:
Итоговое решение было сделано на основе ответа Mihail_Manowar . Переключение в течение максимум двух минут.

Плюс в настройках был найден мой баг (спасибо Grustnui ) - на bridge-local висели ether2 (воткнуто в железку WiMax с собственным DHCP), wlan1 и прочие. Собственный DHCP сервер микротика выдерживал паузу соответственно стандартным настройкам и не успевал ответить вовремя.
В итоге юзер цепляясь на ви-фи получал адрес, присвоенный железкой WiMax, поэтому по локалке бегало прилично, а вот интернет был жутко медленным, поскольку выходил через медленный резервный канал.

Итоговое распределение портов -
ether1 - оптика
ether2 - WiMax роутер
В bridge-local входят:
ether3-5 локалка
wlan1

Спасибо всем ответившим!
  • Вопрос задан
  • 12016 просмотров
Решения вопроса 5
rad1us
@rad1us
netwatch на микротике пробовали?

Например вот так настроить можно.
Ответ написан
@Mihail_Manowar
Достаточно практичный способ описан в статье habrahabr.ru/post/141785
Правда пришлось его немного допилить:
1)изменил весовые коэффициенты относительно которых скрипт принимает решение о состоянии конкретного WAN7ad14d366ee7458d82c0585dea0c76b4.png3db77eb7c14e496cb36a7f6b7a2f83b5.png В моём случае получается что если из четырёх пингуемых узлов доступно менее двух - скрит принимает решение о неиправности WAN.
2) Расписал маршруты до каждого пингуемого узла, чтобы пингуемый узел пинговался через тот WAN для проверки которого он предназначен
a7d4ac380e1b4ff3aec53c47e483d7da.png
Далее все как описанно в статье:
- Создал два NAT
23f3dfe3131f4d89979b07c496d9fe7a.png
- Остальные три скрипта - как в вышеупомянутой статье
ef905f7689a9424885ca644296e5d12b.png7e6371d3a53f4839a9c464328f020571.pngbdb344f3e41f4ec885cb73b50a5a1131.png
Получившийся набор скриптов четко отрабатывает в моей сети уже около года.
Переходит на резервный WAN при выполнении двух условий (Основной WAN валяется и с резервным всё в порядке)
Если оба вана валяются - скрипт ничего не делает.
Преходит на основной сразу-же как он становится исправным независимо от состояния резерного.

Не рекомендуется использовать этот метод если ван валяется по несколько десяток раз в сутки, т.к. через пару лет может закончится ресурс во Flash памяти в маршрутизаторе. Ведь каждое переключение - это процесс записи и применение новых настроек маршрутизации (метрик NAT-ов).
Ответ написан
@Grustnui
Про баг с DHCP - если трафик через роутер относительно небольшой, то можно попробовать собрать бридж без использования возможностей чипа коммутации и проверить как оно всё работает.
Заместо
/interface ethernet
set [ find default-name=ether1 ] name=ether1-fiberisp
set [ find default-name=ether2 ] name=ether2-radioisp
set [ find default-name=ether3 ] name=ether3-master-local
set [ find default-name=ether4 ] master-port=ether3-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether3-master-local name=ether5-slave-local

/interface bridge port
add bridge=bridge-local interface=ether3-master-local
add bridge=bridge-local interface=wlan1


Можно попробовать что нить вида:
/interface ethernet
set [ find default-name=ether1 ] name=ether1-fiberisp
set [ find default-name=ether2 ] name=ether2-radioisp
set [ find default-name=ether3 ] name=ether3-master-local
set [ find default-name=ether4 ] name=ether4-slave-local
set [ find default-name=ether5 ] name=ether5-slave-local

/interface bridge port
add bridge=bridge-local interface=ether3-master-local
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether4-slave-local
add bridge=bridge-local interface=ether5-slave-local

Менее производительно но более прозрачно.

Далее идем в настройки беспроводной сети и проверяем режим работы : должно быть ap-bridge
/interface wireless export
# aug/06/2015 15:51:23 by RouterOS 6.29.1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
distance=indoors l2mtu=1600 mode=ap-bridge

Чтобы исключить глупые случайности советую на время проверки вытащить патчи 3-4-5 из роутера а в 3й например воткнуть свой компьютер.

Далее про переключения - как уже было сказано выше попробуйте в явной виде задать distance = 1 для первого маршрута. Также хочу отметить, что и без всяких скриптов нетвочей и прочего можно проверять check-gateway'ем не только шлюз по умолчанию, но и любые другие ip.

Дока на английском тут

Пример реализации из моего рабочего конфига : для проверки доступности используются DNS Яндекса (77.88.X.X)
/ip route
add check-gateway=ping comment="Main MTS Gateway" distance=2 gateway=77.88.8.1
add check-gateway=ping comment="Main Megafon Gateway" distance=3 gateway=77.88.8.8
add comment="fake gateway MTS" distance=1 dst-address=77.88.8.1/32 gateway=93.187.180.XXX scope=10
add comment="fake gateway Megafon" distance=1 dst-address=77.88.8.8/32 gateway=79.171.12.XXX scope=10

Если не получится: напишите как с вами связаться. Попробую помочь.
Ответ написан
@LiguidCool
Реализуемо на любом спец дистрибе аля pfSense, Vyatta итп. Можно тупо на линухе или бсд'е сделать. Но я бы таки выбрал микрот. На NAG.RU и ютубе есть гайды по настройке, сдается вы просто где-то накосячили.

PS
У вас что, так часто оптика падает? Может надо это... прочистить прову дымоход?

PSS
Кстати в классическом MikroTik RB2011UiAS-IN есть SFP, может вашего прова напрямую воткнуть?
Ответ написан
@MinamotoSoft
реальная замена микротику это нетбоард (х86) минимум на 3 интерфейса и туда прошить pfsense.org Фэйловер и лоадбалансинг в этой штуке есть внутри и работает как часы. Время переключения - секунды. Ставить реализацию не фулл-инсталл а эмбедед. Работает по принцыпу - включил и забыл. Железку можно взять вот такую на вырост ru.aliexpress.com/store/product/Hot-sales-C1037U-m... там же есть варианты сразу в корпусе (лучше брать в корпусе а то потом долго пилить надо). На борту ММС карта с прошивкой. ОЗУ - по потребностям.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
У меня mikrotik на ура переключает каналы. При это шупает не шлюзы, а 3 назначенных узла.

Также всё на том же mikrotik устроенно резервирование, методом поднятия 3G модема. Т.е. если wan1 упал, подымается pptp через usb 3g модем.

Всё это самописными скриптами.
Ответ написан
@forever31337
Сисадмин со стажем
Как вариант для замены Микротика: попробуйте juniper srx. Мы используем на 50+ точек (srx 240 ядро, на точках srx100). У нас используется для ipsec тунелей, переключения на резервный канал и в качестве фаервола. По настройке сложнее Микротика, примерно на уровне Cisco (но и надёжность на таком же уровне, а цена ниже). Единственное но, это модели без wi-fi.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы