@remzalp
Программер чего попало на чем попало

Автоподключение резервного канала интернета. Есть замена микротику?

Есть проблема в удаленном офисе - относительно нестабильный интернет.
Входит 2 провайдера - PPPoE по оптике через медиаконвертор и WiMax роутер отдает ethernet.

Требуется обеспечить офис вайфаем, возможностью удаленного впн подключения в сеть, проброса портов и автоматическим переключением на резервного провайдера. Возможно поддержка заодно 4G модема.

Просто балансировка нагрузки между провайдерами не вариант - альтернативный канал хорошо лагает.

На данный момент работает на входе MikroTik RB951G-2HnD, поднятие резервного канала реализовано через 2 маршрута с пингом гейта по оптике
(
/ip route add gateway=192.168.1.1 check-gateway=ping
/ip route add gateway=192.168.2.1 distance=2
).

Переключаться получается, а вот обратно переключение разве что с перезагрузкой.
Костыльные велосипеды на скриптах тоже стабильностью и предсказуемостью не блещут.

Нужна железка уровня запустил и забыл где она находится.
Текущая ситуация начальство так достала, что есть бюджет в пределах 1000 долларов.

На данный момент есть вот такой весёлый баг
forum.mikrotik.com/viewtopic.php?f=2&t=99179

Что выбрать (и на что мозгов хватит)? Или как настроить один раз и навсегда микротика?

UPD: смотрю в сторону цисок, хотя там тоже есть свой треш и угар.

UPD2: в качестве альтернативы была рекомендована Cisco 881, отложу это на очень далёкое будущее, хотя фрагмент конфига, отвечающий за собственно failover оказался заметно лучше решения на микротике:

track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 X.X.X.X track 1 Здесь роут через Def GW 1-го прова
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y 20 - Здесь роут через Def GW 2-го прова
ip sla 1
icmp-echo 77.88.8.8 source-interface Dialer1
frequency 5
ip sla schedule 1 life forever start-time now

плюс обработчик эвента, который чистит таблицы nat translation

С полки достал старый пыльный Zyxel Keenetic со второй версией прошивки. Да. галочки нужные есть, можно было и на нём поднять решение, но Wi-Fi у него слабоват для тех условий (с него переехали на микротика)

FINAL:
Итоговое решение было сделано на основе ответа Mihail_Manowar . Переключение в течение максимум двух минут.

Плюс в настройках был найден мой баг (спасибо Grustnui ) - на bridge-local висели ether2 (воткнуто в железку WiMax с собственным DHCP), wlan1 и прочие. Собственный DHCP сервер микротика выдерживал паузу соответственно стандартным настройкам и не успевал ответить вовремя.
В итоге юзер цепляясь на ви-фи получал адрес, присвоенный железкой WiMax, поэтому по локалке бегало прилично, а вот интернет был жутко медленным, поскольку выходил через медленный резервный канал.

Итоговое распределение портов -
ether1 - оптика
ether2 - WiMax роутер
В bridge-local входят:
ether3-5 локалка
wlan1

Спасибо всем ответившим!
  • Вопрос задан
  • 11183 просмотра
Решения вопроса 5
rad1us
@rad1us
netwatch на микротике пробовали?

Например вот так настроить можно.
Ответ написан
@Mihail_Manowar
Достаточно практичный способ описан в статье habrahabr.ru/post/141785
Правда пришлось его немного допилить:
1)изменил весовые коэффициенты относительно которых скрипт принимает решение о состоянии конкретного WAN7ad14d366ee7458d82c0585dea0c76b4.png3db77eb7c14e496cb36a7f6b7a2f83b5.png В моём случае получается что если из четырёх пингуемых узлов доступно менее двух - скрит принимает решение о неиправности WAN.
2) Расписал маршруты до каждого пингуемого узла, чтобы пингуемый узел пинговался через тот WAN для проверки которого он предназначен
a7d4ac380e1b4ff3aec53c47e483d7da.png
Далее все как описанно в статье:
- Создал два NAT
23f3dfe3131f4d89979b07c496d9fe7a.png
- Остальные три скрипта - как в вышеупомянутой статье
ef905f7689a9424885ca644296e5d12b.png7e6371d3a53f4839a9c464328f020571.pngbdb344f3e41f4ec885cb73b50a5a1131.png
Получившийся набор скриптов четко отрабатывает в моей сети уже около года.
Переходит на резервный WAN при выполнении двух условий (Основной WAN валяется и с резервным всё в порядке)
Если оба вана валяются - скрипт ничего не делает.
Преходит на основной сразу-же как он становится исправным независимо от состояния резерного.

Не рекомендуется использовать этот метод если ван валяется по несколько десяток раз в сутки, т.к. через пару лет может закончится ресурс во Flash памяти в маршрутизаторе. Ведь каждое переключение - это процесс записи и применение новых настроек маршрутизации (метрик NAT-ов).
Ответ написан
@Grustnui
Про баг с DHCP - если трафик через роутер относительно небольшой, то можно попробовать собрать бридж без использования возможностей чипа коммутации и проверить как оно всё работает.
Заместо
/interface ethernet
set [ find default-name=ether1 ] name=ether1-fiberisp
set [ find default-name=ether2 ] name=ether2-radioisp
set [ find default-name=ether3 ] name=ether3-master-local
set [ find default-name=ether4 ] master-port=ether3-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether3-master-local name=ether5-slave-local

/interface bridge port
add bridge=bridge-local interface=ether3-master-local
add bridge=bridge-local interface=wlan1


Можно попробовать что нить вида:
/interface ethernet
set [ find default-name=ether1 ] name=ether1-fiberisp
set [ find default-name=ether2 ] name=ether2-radioisp
set [ find default-name=ether3 ] name=ether3-master-local
set [ find default-name=ether4 ] name=ether4-slave-local
set [ find default-name=ether5 ] name=ether5-slave-local

/interface bridge port
add bridge=bridge-local interface=ether3-master-local
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether4-slave-local
add bridge=bridge-local interface=ether5-slave-local

Менее производительно но более прозрачно.

Далее идем в настройки беспроводной сети и проверяем режим работы : должно быть ap-bridge
/interface wireless export
# aug/06/2015 15:51:23 by RouterOS 6.29.1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
distance=indoors l2mtu=1600 mode=ap-bridge

Чтобы исключить глупые случайности советую на время проверки вытащить патчи 3-4-5 из роутера а в 3й например воткнуть свой компьютер.

Далее про переключения - как уже было сказано выше попробуйте в явной виде задать distance = 1 для первого маршрута. Также хочу отметить, что и без всяких скриптов нетвочей и прочего можно проверять check-gateway'ем не только шлюз по умолчанию, но и любые другие ip.

Дока на английском тут

Пример реализации из моего рабочего конфига : для проверки доступности используются DNS Яндекса (77.88.X.X)
/ip route
add check-gateway=ping comment="Main MTS Gateway" distance=2 gateway=77.88.8.1
add check-gateway=ping comment="Main Megafon Gateway" distance=3 gateway=77.88.8.8
add comment="fake gateway MTS" distance=1 dst-address=77.88.8.1/32 gateway=93.187.180.XXX scope=10
add comment="fake gateway Megafon" distance=1 dst-address=77.88.8.8/32 gateway=79.171.12.XXX scope=10

Если не получится: напишите как с вами связаться. Попробую помочь.
Ответ написан
@LiguidCool
Реализуемо на любом спец дистрибе аля pfSense, Vyatta итп. Можно тупо на линухе или бсд'е сделать. Но я бы таки выбрал микрот. На NAG.RU и ютубе есть гайды по настройке, сдается вы просто где-то накосячили.

PS
У вас что, так часто оптика падает? Может надо это... прочистить прову дымоход?

PSS
Кстати в классическом MikroTik RB2011UiAS-IN есть SFP, может вашего прова напрямую воткнуть?
Ответ написан
@MinamotoSoft
реальная замена микротику это нетбоард (х86) минимум на 3 интерфейса и туда прошить pfsense.org Фэйловер и лоадбалансинг в этой штуке есть внутри и работает как часы. Время переключения - секунды. Ставить реализацию не фулл-инсталл а эмбедед. Работает по принцыпу - включил и забыл. Железку можно взять вот такую на вырост ru.aliexpress.com/store/product/Hot-sales-C1037U-m... там же есть варианты сразу в корпусе (лучше брать в корпусе а то потом долго пилить надо). На борту ММС карта с прошивкой. ОЗУ - по потребностям.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
У меня mikrotik на ура переключает каналы. При это шупает не шлюзы, а 3 назначенных узла.

Также всё на том же mikrotik устроенно резервирование, методом поднятия 3G модема. Т.е. если wan1 упал, подымается pptp через usb 3g модем.

Всё это самописными скриптами.
Ответ написан
@forever31337
Сисадмин со стажем
Как вариант для замены Микротика: попробуйте juniper srx. Мы используем на 50+ точек (srx 240 ядро, на точках srx100). У нас используется для ipsec тунелей, переключения на резервный канал и в качестве фаервола. По настройке сложнее Микротика, примерно на уровне Cisco (но и надёжность на таком же уровне, а цена ниже). Единственное но, это модели без wi-fi.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
ВЫМПЕЛ Москва
от 100 000 до 200 000 руб.
Chudo Москва
от 90 000 до 180 000 руб.
EXELO Омск
от 50 000 до 70 000 руб.
14 нояб. 2019, в 15:54
30000 руб./за проект
14 нояб. 2019, в 15:42
500 руб./за проект
14 нояб. 2019, в 15:21
10000 руб./за проект