Всех приветствую, решил написать статью, описывающую способ реализации отказоустойчивости на оборудовании Mikrotik.
В одной маленькой конторе, где я подрабатываю, из-за регулярных проблем у провайдера, задумались о подключении второго интернет канала, основного провайдера (не стабильного в последнее время) отключать не хотят, за много лет его использования тариф для фирмы не изменимся, да и скорость отличная, за те деньги + есть внешний IP и сотрудники офиса могут подключаться по VPN к офису, руководство о смене провайдера ничего слышать не хочет, это почти самый центр Москвы и с провайдерами там не очень весело.
Идея была в том что офис будет протянут новый канал и необходимо было реализовать следующую схему,
первый провайдер назовем его ISP1 (Глючный) и ISP2 (не имеет внешнего адреса только серый 10.57.ХХ.ХХ), опишу схему подробнее
ISP1 предоставляет сеть с белым IP который прилетает по DHCP, скорость 100 Мбит/с
ISP2 предоставляет сеть с серым IP адресом находящимся за NAT скорость 30 Мбит/с
Провайдер ISP2 нужен чтобы пересидеть, время недоступности основного канала, а офис мог функционировать с небольшими ограничениями.
Я пробежался по готовым статьям и не нашел того решения что меня устраивало на 100%, вот я и решил поделиться
своей наработкой с общественностью.
Я опишу свой способ, который без проблем работает как у 2х провайдеров которые выдают IP адреса по DHCP, так и у 2х провайдеров которые раздают статические адреса, как вы просчитали выше, у меня 2 сети- одна сеть конфигурируируется по DHCP, а вторая — статические адреса.
Данная схема, отработала уже более 2х лет, статистика сипользования
переключений в неделю — в среднем 3
среднее время использование резервного канала 12 мин
В качестве примера, для обозначения шлюзов я буду использовать эти, выдуманные мной адреса, вам их необходимо заменить на свои.
ISP1 шлюз 777.777.777.777
ISP2 шлюз 888.888.888.888
В качестве подготовки
Я не буду останавливаться на настройке маршрутизатора, пример настройки можно посмотреть в статье: Настройка MikroTik RouterBoard RB951G-2HnD, а перейдем сразу к делу.
Для начала переходим в меню настройки сетевых интерфейсов, интерфейс ether1 подключенный к провайдеру ISP1, мы переименуем в ether1-ISP1, чтобы было понятно за что он отвечает 
Сетевой интерфейс ether2 подключен у нас к провайдеру ISP2, назовем его ether2-ISP2
Поступим с ним аналогичным образом. 
Кратко опишу процесс работы по проверке работы канала и алгоритма переключения на резервный канал и обратно.
Выбираем IP адрес в интернете, с высокой степенью доступности, в качестве примера, буду использовать IP 8.8.8.8
Создаем правило фаерволла, которое разрешает прохождение пакетов только через основной канал с интерфейсом подключенным в ISP 1, в случае переключения на резервный канал, пакеты будут пытаться отправляться через новый маршрут по умолчанию, вот тут вступает правило фаерволла, которое прямо запрещает прохождение пакетов от маршрутизатора через интерфейс подключенный к ISP 2.
1 Настраиваем Firewall
Переходим в IP->Firewall и создаем правило, запрещающее отправку пакетов через ISP2 
Где
Chain: output — указываем правило, которое применяется для исходящих пакетов от маршрутизатора.
Dest address: 8.8.8.8 — IP адрес, пакеты адресованные которому, будут подпадать под это правило.
ether2-ISP2 — Интерфейс, для которого применяется это правило.
Теперь нам надо перейти в во кладку Action, тут мы указываем что делать с пакетом, в нашей ситуации мы его выбрасываем
Action: Drop 
Жмем OK и сохраняем изменения.
2 Настраиваем маршрутизацию
Переходим в IP-> Routers и видим примерно такую таблицу маршрутизации, IP основного канала ISP1 я закрасил, серыйе адреса второго провайдера я оставил. 
Из скриншота мы видим что маршрутом по умолчанию 0.0.0.0/0 у нас является интерфейс подключенный к провайдеру ISP1, вот этим параметром мы и будем управлять, перенося его с одного интерфейса на другой.
Нам необходимо создать маршрут к IP 8.8.8.8 пакеты к которому, от маршрутизатора, будут идти только через ISP1
Жмем + и добавляем новый маршрут как на скришшоте 
Для чего это все нужно?
Система будет проверять доступность этого IP адреса, через провайдера ISP1, если этот адрес не доступен, выполняется переключение на резервный канал, при этом система будут продолжать, с определенной периодичностью, пытаться достучаться до адреса 8.8.8.8, через провайдера ISP1. Тут возникает закономерный вопрос, а почему не проверять доступность шлюза провайдера?!
Бывают ситуации, что сеть провайдера работает нормально, а вот дальше, пакеты уже не летят, тогда не произойдет переключения на резервный канал и все будут сидеть без интернета, по этой причине необходимо проверять доступность адресов именно в глобальной сети!
3 Настраиваем Netwatch
Теперь настраиваем проверку и переключение на резервный канал, для этого, в RouterOS есть штатная утилита, которая называется Netwatch, она и будет проверять, с заданной периодичностью, состояние канала.
Переходим в раздел Tools -> Netwatch и создаем там новый хост для проверки 
Где:
Host: 8.8.8.8 — адрес по доступности которого мы будем проверять работоспособность основного канала
interval: 00:03:00 — в моем примере, проверка будет проводиться каждые 3 мин, интервал проверки вы можете задать по своему усмотрению, данная схема у меня работает уже несколько лет и 3 мин, для меня, вполне приемлемое время, чаще не вижу смысла запускать проверки.
Переходим во вкладку UP в ней будет выполняться команда которая будет выполняться в случае доступности IP адреса, мониторинг которого мы выполняем:
Переходим во вкладку DOWN
Эта команда будет выполнена в случае недоступности IP адреса
Жмем OK, в списке у нас появится правило: 
Где будет указывать интервал проверки, который мы задали, 3 мин, таймаут проверки 1000 мс или 1 сек и состояние UP, также дата и время последнего изменения состояния.
4 Тестирование
Это важный этап проверки работоспособности данной схемы!
Нам необходимо проверить работу системы переключения на резервный канал и возвращение на основной.
Нужно зайти в настройки сетевых интерфейсов Interfaces и выключить сетевой интерфейс ether1-ISP1 подключенный к ISP1
Открыв окно, netwatch, где можно наблюдать, как система запустит проверку и обнаружит что канал провайдера ISP1 не доступен, статус изменится на down и шлюзом по умолчанию, станет шлюз провайдера ISP2 888.888.888.888
На перестройку таблицы маршрутизации уходит примерно 30 сек, после этого интернет опять начинает работать. Можно зайти например на сайт 2ip.ru и увидеть что у вас IP адрес резервного провайдера.
Чтобы все вернуть обратно, просто включаем интерфейс ether1-ISP1, через 3 мин система обнаружит что доступ к IP 8.8.8.8 восстановлен и можно переключать на основной канал, сделав шлюзом, по умолчанию, шлюз провайдера ISP1 777.777.777.777
Снова заходим на 2ip.ru и видим что теперь у нас IP выданный провайдером ISP1
В общем решение получилось очень простым и за время использования, показало свою пригодность для использования.
Думаю, статью на этом можно завершить, на благодарю тех кто смог дочитать ее до конца…
С помощью функции Link Backup (резервирование канала) маршрутизатор сможет переключать все сессии с разорванного соединения на другой канал, обеспечивая постоянно работающую сеть. Вы можете настроить функцию Link Backup (резервирование канала) при фактической необходимости уменьшить загруженность определённого порта WAN и улучшить производительность сети.
Шаг 1 Выберите Load Balance (Балансировка нагрузки) в меню Advanced (Дополнительные настройки) и выберите Link Backup (Резервирование канала):
Как в интернет-центре настроить резервирование Интернета через 3G/4G-модем?
Для обеспечения отказоустойчивого доступа в Интернет можно подключить интернет‑центр серии Keenetic одновременно к нескольким провайдерам (так называемый режим Multi-WAN). При сбое основного соединения интернет‑центр быстро переключится на работу с резервным.
Рассмотрим пример настройки резервирования основного соединения в интернет-центре серии Keenetic. В качестве основного соединения будем использовать подключение к провайдеру по Ethernet, а в качестве резервного канала – подключение к Интернету через USB-модем по технологии 3G/4G.
Логика работы интернет-центра в нашей схеме будет следующей: Keenetic будет постоянно проверять доступность Интернета на основном соединении (Ethernet-подключение к провайдеру), и при отсутствии соединения интернет-центр автоматически перейдет на использование резервного подключения к Интернету через USB-модем оператора мобильной связи 3G/4G. Затем, при появлении Интернета на основном соединении, интернет‑центр вернется на работу с основным каналом. Cписок поддерживаемых модемов представлен в статье: «Список поддерживаемых USB-модемов»
Настройку данной схемы будем производить через веб-конфигуратор интернет-центра.
Для начала в интернет-центре Keenetic нужно настроить подключение к основному и резервному каналам.
В нашем примере в качестве основного соединения используется подключение к провайдеру по кабелю Ethernet. Инструкцию по самостоятельной настройке подключения к Интернету по Ethernet-кабелю можно найти в статье: «Самостоятельная настройка Keenetic для подключения к Интернету по Ethernet-кабелю»
В качестве резервного канала будем использовать подключение к Интернету через USB-модем оператора мобильной связи 3G/4G.
Подключите совместимый 3G/4G-модем к USB-разъему интернет-центра. Интернет-центр должен определить его. Для получения подробной информации по подключению модема щелкните по его появившейся записи в списке.
Таким образом, в меню Интернет > Подключения будут созданы два соединения для подключения к разным провайдерам и по разным технологиям. Здесь обращаем ваше внимание на поле Приоритет. По умолчанию активным будет соединение, имеющее больший приоритет. Активное соединение отображается зеленым цветом значка, а резервное – серым цветом. При необходимости вы самостоятельно можете изменять приоритет соединений. В нашем примере Ethernet-подключение имеет больший приоритет и является основным, а подключение через 3G/4G-модем имеет меньший приоритет и будет являться резервным.
Далее в интернет-центре необходимо настроить функцию проверки доступности интернет-соединения Ping Сheck.
Внимание! Данная функция стала доступна в устройстве только начиная с микропрограммы версии 2.04. Обновите микропрограммное обеспечение интернет-центра, а также обязательно установите компонент Проверка доступности Интернета Ping Checker (информацию об обновлении компонентов микропрограммы NDMS V2 вы найдете в статье: «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор»).
Этот компонент определяет работоспособность подключения к Интернету по доступности заданного узла. Результат проверки может быть использован для переключения между основным и резервным подключениями к Интернету.
После установки компонента Проверка доступности Интернета (Ping Сheck) в меню Интернет появится вкладка Ping Check.
Настроим данную функцию для нашего основного Ethernet-интерфейса Broadband connection (ISP). Щелкните мышкой по имени этого интерфейса.
Для включения функции проверки установите галочку в поле Использовать проверку доступности. В поле Метод проверки можно указать, при помощи каких запросов ICMP (ping) или TCP выполнять проверку.
В поле Проверять адрес впишите IP-адрес узла, проверку доступности которого требуется выполнять. Например, можно использовать адрес надежного публичного сервера DNS (в нашем примере указан IP-адрес публичного DNS-сервера от Яндекс). В полях Периодичность проверки и Порог срабатывания (число неудачных проверок) установите соответственно значения 5 и 3 (для Ethernet-подключения это будут оптимальные значения). Нажмите кнопку Применить для сохранения настройки.
Также хотим обратить ваше внимание на то, что некоторые провайдеры могут пропускать пинги (icmp-запросы) до некоторых публичных DNS-серверов (например, до DNS-серверов от Google 8.8.8.8, 8.8.4.4) или собственных DNS-серверов, даже когда доступ в Интернет заблокирован. Поэтому рекомендуем проверять надежный IP-адрес (сервер), который постоянно доступен в сети Интернет и доступ к нему будет невозможен только при отсутствии доступа в сеть.
На этом настройка резервирования основного соединения в интернет-центре серии Keenetic завершена. Теперь Keenetic с помощью функции Ping Check будет постоянно проверять доступность Интернета на основном соединении (Ethernet-подключение к провайдеру), и при отсутствии данного соединения (после трех неудачных проверок доступности IP-адреса публичного DNS-сервера) интернет-центр автоматически перейдет на использование резервного подключения через 3G/4G-модем для доступа в Интернет. Затем, при появлении Интернета на основном соединении, интернет‑центр вернется на работу с основным каналом.
Загрузка...
