MikroTik。 2つ以上のプロバイダーを使用する場合のdst natを修正

タスクを完了し始めて、私はオーク公園の日陰での軽い散歩に頼り、自然を熟考し、考えにふける...

瞑想、要素との闘争、そして自分自身のくすみを乗り越え、自分自身を克服しながら、私はまだ希望のdesiredを達成しました。



この記事では、既成のルールセットを提供するだけでなく、それらが機能する理由と方法をできる限り説明するようにします。









具体的には、私の場合、ルーターを構成して、その背後のローカルネットワーク上のWebサーバーが3つのプロバイダーのいずれかのIP経由でアクセスできるようにする必要がありました。

パート1

最初に、すべての設定を調べて、せっかちな人が読まずにコピー＆ペーストできるようにします。



RouterOSバージョン：

# oct/11/2016 22:02:32 by RouterOS 6.37.1 # software id = X62B-STGZ
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

インターフェース：

 /interface list add name=WAN /interface list member add interface=ISP1 list=WAN add interface=ISP2 list=WAN add interface=ISP3 list=WAN
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この機能が登場したRouterOSのバージョンから始めたことを覚えていません。 これにより、インターフェイスをグループ化できます。これは非常に便利です（たとえば、/ ipファイアウォールルールで）。 3つのWANインターフェイスのグループを作成しました。

AcidVenomは6.36で



IPアドレス（明らかな理由により、アドレスは「左」です）：

 /ip address add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0 add address=95.11.29.240/24 interface=ISP1 network=95.11.29.0 add address=5.35.59.162/27 interface=ISP2 network=5.35.59.160 add address=5.98.112.30/30 interface=ISP3 network=5.98.112.28
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ルーティング：

 /ip route add distance=1 gateway=95.11.29.254 routing-mark=ISP1-route add distance=1 gateway=5.35.59.161 routing-mark=ISP2-route add distance=1 gateway=5.98.112.29 routing-mark=ISP3-route add check-gateway=ping distance=1 gateway=8.8.8.8 add check-gateway=ping distance=2 gateway=8.8.4.4 add check-gateway=ping distance=3 gateway=1.1.36.3 add distance=1 dst-address=8.8.4.4/32 gateway=5.35.59.161 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=95.11.29.254 scope=10 add distance=1 dst-address=1.1.36.3/32 gateway=5.98.112.29 scope=10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

フェールオーバーを整理するために、再帰ルーティングを設定します。第2部で詳しく説明します。



ファイアウォール（この出版物では、すべてを許可するルールを意図的に提供しています。

これをしないでください！）：

 /ip firewall filter add action=accept chain=forward add action=accept chain=input add action=accept chain=output
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

dstおよびsrc nat：

 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN add action=dst-nat chain=dstnat comment="HTTP" dst-port=80 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.0.83 to-ports=80 add action=dst-nat chain=dstnat comment="HTTPs" dst-port=443 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.0.83 to-ports=443
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

マングル

 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 \ new-connection-mark=ISP1-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP1-conn \ new-routing-mark=ISP1-route passthrough=no add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\ ISP2-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP2-conn \ new-routing-mark=ISP2-route passthrough=no add action=mark-connection chain=input in-interface=ISP3 \ new-connection-mark=ISP3-conn passthrough=yes add action=mark-routing chain=output connection-mark=ISP3-conn \ new-routing-mark=ISP3-route passthrough=no add action=mark-connection chain=forward in-interface=ISP1 \ new-connection-mark=ISP1-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP1-conn-f \ in-interface=bridge new-routing-mark=ISP1-route add action=mark-connection chain=forward in-interface=ISP2 \ new-connection-mark=ISP2-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP2-conn-f \ in-interface=bridge new-routing-mark=ISP2-route add action=mark-connection chain=forward in-interface=ISP3 \ new-connection-mark=ISP3-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP3-conn-f \ in-interface=bridge new-routing-mark=ISP3-route
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パート2

すべての詳細を考慮してください。



ルーティング：



/ ipルート

最初の3行では、3つの各プロバイダーのデフォルトゲートウェイを示しています。

ルートのウェイト（ 距離 ）は同じですが、異なるルーティングテーブルで機能します。



つまり、これらのルートは、対応する（ routing-mark ）タグでマークされたパケットに対して機能します。 / ip firewall mangleのパケットにタグを掛けます（これについては、以下で同様に説明します）。



次の3行は、メインルーティングテーブルのデフォルトルートを示しています。



ここでは、次のことに注意する価値があります。

1. 距離パラメータ 各ルートごとに異なり、それに応じて、ルートの「重み」も異なります。
   
   
   
   ISP1-メイン、ISP2およびISP3が続きます。 ISP1プロバイダーに障害が発生した場合、ISP2がBoseにある場合、ISP2を介して作業し、ISP3が引き継ぎます。
   
   
   
   
2. ゲートウェイパラメーターの値は、やや混乱を招く可能性があります。 このGoogle DNSとある種の左のIPアドレスが突然デフォルトルートになったのはどうしてですか？ 魔法は、最後の3行のscopeパラメーターと、Nexthopルックアップメカニズム自体にあります。
   
   
   
   実際、トラフィックはアクティブなプロバイダーに送られ、その後、アップリンクを介してインターネットに送信されます。
   
   
   
   
3. check-gateway = pingパラメーターについて。 一番下の行は、最も単純なフェールオーバービルドスキームでは、デフォルトルートでcheck-gateway = pingを指定することにより、プロバイダーのルーターへの接続のみをチェックするということです。 インターネットがプロバイダーのルーターの背後で利用できない場合、これは理解できません。 また、 scopeパラメーターを使用したフェイントの助けを借りて、プロバイダーとの接続を確認するのではなく、インターネット上で探します。

ネタバレの下で、このトピックに関するMikroTik wikiの私の詳細な翻訳/適応。





最も熱心な知識はネタバレの下で読まれますが、もう少し短く簡単に話しましょう。

最後の3行でscope = 10を指定すると、MikroTikに対して次のことが明確になります。

• 8.8.8.8
• 8.8.4.4
• 1.1.36.3

直接ではなく、これらの静的ルートを介して再帰的にアクセスできます。 ブラザープロバイダーごとに1つのIP。



/ IPファイアウォールマングル



このセクションのルールを説明するために、いくつかのアシスタントを招待します。

1. MANGLE-この表は、パケットと接続の分類とラベル付け、およびパケットヘッダー（TTLおよびTOSフィールド）の変更（wikiマニュアル）を目的としています。
   
   
   
   マングルテーブルには、次のチェーンが含まれています。
   
   
   1. PREROUTING-ルーティングを決定する前にパケットを変更できます。
   2. INPUT-ホスト自体を対象としたパッケージを変更できます。
   3. FORWARD-中継パケットを変更できるチェーン。
   4. 出力 -ホスト自体からのパケットを変更できます。
   5. POSTROUTING-ホスト自体によって生成されるすべての発信パケットと、通過するパケットを変更できます。
2. CONNECTION TRACKINGは、接続のステータスを監視し、個々のパッケージの運命を決定するときにこの情報を使用できるようにする特別なサブシステムです。
3. MikroTikのパケットフロー
4. 

ルールを理解しやすいようにグループに分けました。 最初のグループには、ルーター自体との間のトラフィックを担当する6つのルールがあり、2番目のグループ6には、中継トラフィックを担当します。



最初の2つから始めましょう。

最初に、すべての着信チェーン= ISP1インターフェイスへの入力接続にaction = mark-connection new-connection-mark = ISP1-connのマークを付ける必要があることをルーターに伝えます。また、このルールを通過した後、パケットがテーブルを離れ、ルールに従って続けました。



2番目では、MikroTikにISP1-connとしてマークされた出力チェーン=出力接続をキャッチし、ルーティングラベルを割り当てます（対応するルーティングテーブルに配置するために、最初の3つのルートを覚えていますか？）、またpassthrough = no 、how言うこと-このルールの後にパッケージがここで行うことはありません。 パケットはテーブルを離れます。



上記のすべては、ISP2とISP​​3の両方に当てはまります。 したがって、ルータは、要求が来るインターフェイスから正確に応答することを達成しました。



最後の6つのルールに進みます。

すでに明らかです。これらは、ISPごとに2つのサブグループに分けられます。

それらの最初は、 FORWARDチェーンを監視するようにルーターに指示し、ISP1インターフェイスを介して接続が発生した場合、 action = mark-connectionで新しいタグでマークされますnew-connection-mark = ISP1-conn-f （注！ルーター自体のトラフィックタグとは異なりますこの場合、トランジットトラフィックをマークします）。 パススルー= n o このルールに該当したパッケージは、他の方法でテーブルで処理されることは望ましくありません。



2番目は、 PREROUTINGチェーンの目的のルーティングラベルnew-routing-mark = ISP1-routeをハングアップします。 ルーティングについて決定する前に、ローカルネットワークin-interface = bridgeから到着したトラフィックを監視します。

ここで、 CONNECTION TRACKINGメカニズムが役に立ちます。これにより、上記のルールでマークされた接続をローカルネットワーク（WEBサーバーから）でキャッチし、必要なルーティングタグでそれらをハングさせることができます。



これにより、通過トラフィック（ここでWebサーバーとの間）が正確にそのままの状態で送信されます。 ISP1を介して来た-それをそのままにします。

おわりに

私の説明が明確で、この仕事が役に立つなら、私はとてもうれしいです。

瞑想に行って、みんなに幸運を！



ご清聴ありがとうございました！