SPOJE.NET

Technická dokumentace

Uživatelské nástroje

Nástroje pro tento web


Postranní lišta


Provozují SPOJE.NET.
Nejlepší internet v Praze.

howto:network:mikrotik:routing

Routování na Mikrotiku

2 ISP v jednom routeru - (verze 1)

Nastavení ukazuje, jak nastavit Mikrotik s dvěma připojení k Internetu. Uvedený příklad posílá různé LAN sítě přes konkretní linku poskytovatele

  • ether1 = ISP1 (10.0.0.0/24)
  • ether2 = ISP2 (10.10.0.0/24)
  • ether5 = LAN1 (192.168.1.0/24)
  • ether6 = LAN2 (192.168.101.0/24

Defaultni nastavení je všechno posílat přes ISP1 a pouze LAN2 posílat přes ISP2.

/ip route
add distance=1 gateway=10.10.0.1 routing-mark=isp2
add distance=1 gateway=10.0.0.1
/ip route rule
add src-address=10.10.0.0/24 table=isp2
add src-address=192.168.101.0/24 table=isp2
add routing-mark=isp2 table=isp2
/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1 action=masquerade
add action=src-nat chain=srcnat out-interface=ether2 action=masquerade

Záložní konektivita (2 ISP v jednom routeru) - (verze 2)

Tento návod je popisuje i situaci, kdy záložní konektivitu poskytuje nějaký router, který sám provádí NAT, přiděluje DHCP, apod.

I. Příprava záložního rozhraní

V případě ethernetu je port např. ether5 je v nastavení switche potřeba vyřadit ze switche - nastaví se u něj master port: None V případě USB donglu by mělo v Mikrotiku existovat rozhraní např. ppp1

II. přes SSH (i ve winboxu) se zadají tato pravidla:

[admin@odien] /ip> /ip route
[admin@odien] /ip route> add dst-address=8.8.8.8 gateway=ether1-gateway scope=10
[admin@odien] /ip route> add dst-address=8.8.4.4 gateway=ether5 scope=10 
[admin@odien] /ip route> add distance=1 gateway=8.8.8.8 routing-mark=ISP1 check-gateway=ping 
[admin@odien] /ip route> add distance=2 gateway=8.8.4.4 routing-mark=ISP1 check-gateway=ping
[admin@odien] /ip route> add distance=1 gateway=8.8.4.4 routing-mark=ISP2 check-gateway=ping
[admin@odien] /ip route> add distance=2 gateway=8.8.8.8 routing-mark=ISP2 check-gateway=ping

III. navíc, např. přes klikací rozhraní:

  1. na záložním interfacu (ether5 resp. ppp1) se musí pustit DHCP client s vyšší default distance přidaných router, než na ether1-gateway (např. jsem dal 10)
  2. na záložním interfacu (ether5 resp. ppp1) se musí ve Firewall sekce NAT zapnout stejný IP Masquerading jako předím na ether1-gateway

VPN v Mikrotiku

  • V mikrotiku funguje korektně pouze od firmwaru 6.23
  • Je nutno použít nešifrovanou OpenVPN, kterou si rozjedete např. na portu 443

1. Vygenerovaný certifikát nahrajeme přes scp do mikrotiku. (musíme nahrát ca.crt a pak uživatelský uzivatel.crt a uzivatel.key)
2. Importujeme nahrané certifikáty v pořadí ca.crt, uzivatel.crt, uzivatel.key. Passphrase nezadavame.

certificate import file-name=<zvoleny_soubor>

3. Nastavíme OpenVPN klienta. <uzivatel> nastavuje common name v importovanem certifikatu ! Za aa.bb.cc.dd dosadíme IP adresu našeho OpenVPN serveru

ppp profile add name=ovpn use-compression=no use-encryption=no use-mpls=no use-vj-compression=no
 
interface ovpn-client add certificate=cert_2 cipher=null connect-to=aa.bb.cc.dd mode=ethernet name=ovpn-out1 port=443 profile=ovpn user=<uzivatel>

4. Manuálně si budeme muset přidat routy, které chceme posílat primárně přes VPN. Bohužel u Mikrotiku blbě funguje předávání rout, proto si musíte zjistit, jaká se používá brána ve VPN a tu nastavit manuálně do routovací tabulky

/ip route
add distance=1 dst-address=10.1.0.0/16 gateway=172.16.1.1
add distance=1 dst-address=10.2.0.0/16 gateway=172.16.1.1
add distance=1 dst-address=10.3.0.0/16 gateway=172.16.1.1

Internet přes OpenVPN v Mikrotiku s mobilním připojení

Pokud potřebujeme Internet tunelovat přes OpenVPN v Mikrotiku (např. cenzura internetu, chceme vlastní konektivitu etc.) postupujeme následujícím způsobem:

1. Přidáme rozhraní ppp-out1 (pro případ, že máme Internet přes mobilní připojení)

/interface ppp-client
add add-default-route=no apn=internet disabled=no name=ppp-out1 port=usb1 \
    use-peer-dns=no

2. Přidáme maškarádu na odchozí OpenVPN rozhraní (pokud používáme NAT a nechceme routovat vnitřní adresy)

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ppp-out1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ovpn-out1

3. Přidáme default routu přes OpenVPN - Musím přidat vyjímku na adresu OpenVPN serveru, který musíme poslat přes původní konektivitu

/ip route
add distance=1 gateway=172.16.1.1
add distance=1 dst-address=aa.bb.cc.dd/32 gateway=ppp-out1
howto/network/mikrotik/routing.txt · Poslední úprava: 2017/03/09 13:14 autor: xchaos