- Этап 1. Подготовительные работы:
- Прошивка из Stick в Hilink
- Разлочка под всех операторов
- Прошиваем модем
- Настройка RB951G под два провайдера
- Выход в интернет
- Настройка DNS на Mikrotik
- Настройка локальной сети
- NAT
- DHCP
- Firewall
- Настраиваем IP сервисы и отключаем хелперы
- Настройка LTE на Mikrotik
- Настройка автоматического переключения каналов
- Создаём правило маркировки для ISP1
- Создаём правило маркировки для ISP2
- Направляем трафик по таблицам
- Маршруты по умолчанию в новых таблицах
- Автоматическое переключение WAN каналов
- Этап 3. Настройка скрипта переключения
- Wi-Fi мост
- 2-й провайдер через lte usb модем
- Использование сценария, запускаемого в Netwatch
- 1. Задаем описания
- 2. Настраиваем узел для проверки канала
- 3. Настройка задания в Netwatch
- Этап 2. Настройка маршрутов
- Самодельный Mikrotik Wan Failover на 2 провайдера
- 3G/4G-модем
Этап 1. Подготовительные работы:
Мы предлагаем вам не углубляться в стадию первоначальной настройки устройства. Считаем, что базовая настройка устройства уже завершена, адреса получены, модем LTE удален из вкладки Bridge.
На вкладке Список адресов имеем:
- Lte1 — получен адрес по DHCP (D — Dynamic) 10.0.0.10
- WAN1 — получен адрес по DHCP (D — Dynamic) 172.17.0.51
- Bridge1 (наша локальная сеть) — 192.168.1.1 — адрес роутера.
В этом окне создаем 2 правила. Как создавать правила и базовые настройки смотрите в статье.
Примечание:
Мы создали отдельное правило, разрешающее Интернет для каждого интерфейса, но вы можете использовать список интерфейсов и создать только одно правило (см рис ниже).
Прошивка из Stick в Hilink
Ранее я говорил как отличить обе эти прошивки, чем одна лучше другой и т.д. А вот настроить автоматическое переключение каналов в сценарии, когда другой провайдер работает через «свисток», у нас есть одна проблема. В прошивке Стика мы всегда получаем динамический серый адрес из сети провайдера (кроме случаев с юридическими лицами, там может быть ситуация лучше). А для корректной работы скрипта переключения каналов у вас должны быть статические адреса на внешних интерфейсах. И неважно, дает вам поставщик белый или серый цвет, главное, чтобы он не менялся. Именно эту проблему решает смена прошивки.
Если вы хотите углубить свои знания по работе с маршрутизаторами MikroTik, наша команда рекомендует пройти курсы, основанные на сертифицированном сетевом партнере MikroTik и расширенные автором на основе опыта. Подробнее читайте ниже.
Разлочка под всех операторов
- Первым делом разблокируем модем. Вставляем в ПК, устанавливаем менеджер соединений, вместе с ним установятся и драйвера;
- Узнать IMEI модема. Обычно он находится под крышкой, рядом со слотом для SIM-карты;
- Скачать калькулятор кодов разблокировки HUAWEI;
- Введите IMEI в поле и нажмите «Рассчитать». Сохраняем коды: v201, Flash, а в случае v2;
- Вставляем сим-карту другого оператора, вставляем модем в ПК. В диспетчере соединений появится окно, которое требует ввести код разблокировки, набрать там код v201 и нажать ок (если не получилось, то код v2);
Все, после этого свисток поддерживает всех операторов.
Прошиваем модем
- Извлекаем его из ПК;
- Удаляем все менеджеры соединений и не важно от какого оператора;
- Установите 3 драйвера по порядку:
- HUAWEI_DataCard_Driver_5.05.01.00_Setup;
- FC_Serial_Driver_Setup;
- HUAWEI_HiLink_Switch_Driver_Setup;
- Вставляем свисток в комп, не мешаем ОС устанавливать дрова на устройства;
- Кроме того, менеджер может предложить установить подключение — мы игнорируем и не разрешаем этого. Если после установки дров операционная система просит перезагрузку — не отказываемся, если предложения не поступило — перезагрузку не делаем;
- В диспетчере устройств убедитесь, что нет желтых восклицательных знаков. Закрываем все программы, которые потенциально могут использовать модем, а также все антивирусы (остановить рекомендуется). Отключите ПК от сети или Wi-Fi;
- Скачать прошивку E3272S_Update_22.491.03.00.00_ADB_TLN_02 и запустить файл на выполнение;
- В поле запроса на ввод кода введите Flash-код и нажмите «ОК». Ждем установки и определения новых устройств в ОС, должно быть так;
- Загрузите sw_mode_E327x_new и используйте sw_debug_mode.cmd, чтобы переключить модем в двухпортовый режим. Запустить от имени администратора. Если все в порядке, мы увидим следующее изображение:
- Загрузите Update_WEBUI_17.100.08.00.03_V7R1_Mod1.2 и запустите его на прогон. Ждем окончания прошивки, и когда ОС установит драйвера.
Я тут же открыл чистую пасть свистка. Если у вас этого не произошло, просто отключите/подключите его к ПК или сетевому интерфейсу RNDIS в Центре управления сетями и общим доступом.
Я предлагаю вам немедленно изменить IP-адрес. Заходим во вкладку настроек. Набираем 192.168.254.1 и сразу изменится диапазон раздаваемых адресов. Подать заявление. Вы получите предупреждение о том, что устройство перезагрузится — соглашаемся.
Обращаю внимание на выбор DHCP IP-адресов, в принципе их раздачу мы можем отключить, но если вам это по каким-то причинам нужно, лучше не менять эти параметры.
Проверим, что адресация изменилась.
Для справки, во вкладке Virtual Server можно настроить переадресацию портов. Но есть еще кое-что для тех, у кого статический белый адрес.
Настройка RB951G под два провайдера
Этот блок находится в нашей пустой конфигурации. Мы начинаем все с нуля. Модем еще не подключен.
Выход в интернет
На тестовом стенде провайдером будет мой домашний роутер. Я хочу настроить статический адрес, который смотрит с RB951G на мою домашнюю сеть.
Напишем последнее средство с расчетом 10.
Прокомментируем ISP1
Настройка DNS на Mikrotik
Настройка локальной сети
Создайте мост LAN.
Добавьте порты с ether2-ether5 и wlan1.
Вешаем на этот адрес локальную сеть.
NAT
Создаем правило NAT для основного провайдера, который зашит.
DHCP
Настройка DHCP-сервера в терминале
/ip pool add name=dhcp_pool0 ranges=192.168.200.2-192.168.200.254 /ip dhcp-server add address-pool=dhcp_pool0 disabled=no interface=Bridge-LAN аренды-time=1d name=dhcp1 /ip network dhcp-server добавить адрес = 192.168.200.0/24 DNS-сервер = 192.168.200.1 шлюз = 192.168.200.1
Firewall
/ip firewall address-list add address=192.168.200.0/24 list=LAN network /ip firewall filter add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state= new dst-port=2204,56465 протокол= tcp add action=accept chain=input comment=in_DNS-from-LAN-Allow dst-port=53 protocol=udp src-address-list=LAN-Networks add action=accept chain=input comment=in_E&R-Allow connection-state = установленный, связанный добавить действие = отбросить цепочку = ввести комментарий = в-DROP-ALL добавить действие = принять цепочку = переслать комментарий = frw_E&R&N-Разрешить состояние соединения = установленный, связанный, новый добавить действие = отбросить цепочку = отправить комментарий = frw_INVALID -DROP соединение-состояние = недопустимо
Настраиваем IP сервисы и отключаем хелперы
/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh-port=2204 set api disabled=yes set winbox-port=56465 set api-ssl disabled=yes /ip сервисный порт брандмауэра set ftp disabled = yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes
Настройка LTE на Mikrotik
Вставляем 4G модем с симкой в Микротик и заходим в Интерфейсы — LTE. Интерфейс находится в рабочем состоянии, и, как вы можете видеть, у нас есть адрес и маршрут по умолчанию. Нам это совсем не подходит. Почему? Потому что маршрут с метрикой 2 вообще не нужен в основной таблице. Конкретно, если вы хотите создать еще несколько маршрутов с более высоким расчетом приоритета, то у вас остается только один, равный 1. Кроме того, адрес мы получили динамически, на это указывает флаг D напротив 192.168.254.100/24 в списке адресов микротика. Вам нужно уйти от этого, чтобы защитить себя от возможных сбоев модема.
Что делать? Создаем правило NAT против интерфейса lte1.
Всего у нас должно быть 2 правила трансляции адресов.
Подключаем ПК к LAN порту Микротика и заходим по адресу 192.168.254.1 Открывается иконка веб интерфейса, заходим в Настройки — Система — DHCP и выключаем DHCP сервер, принимаем предупреждение.
В логах увидим, что Лиза остановилась и модем перезапустился.
Нам осталось ввести адрес вручную на интерфейсе lte, а также стандартный маршрут через этот интерфейс с расчетом 20.
Прокомментируем маршрут через lte.
Настройка автоматического переключения каналов
Чтобы Микротик понял, с какого интерфейса ушел трафик и куда пришел, нам нужно его пометить. Он же нам нужен для того, чтобы скрипт понимал, с какого интерфейса есть выход в интернет, а с какого нет. Ранее я описывал как это сделать в Winbox (вставьте ссылку на дуал ван), здесь же остановлюсь на CLI.
Создаём правило маркировки для ISP1
/ip firewall mangle add action=mark-connection chain=prerouting comment=out-in-ISP1 in-interface= ether1 new-connection-mark=from-ISP1-WAN passthrough=yes add action=mark-routing chain=prerouting connection -mark=from-ISP1-WAN new-routing-mark=to-ISP1-MR passthrough=yes add action=mark-routing chain=output connection-mark=from-ISP1-WAN new-routing-mark=to- Транзит через ISP1-MR=да добавить действие=отметить цепочку маршрутизации=вывести новую-маршрутизацию-отметить=к транзиту к ISP1-MR= да src-address=192.168.10.254
Создаём правило маркировки для ISP2
/ip firewall mangle add action=mark-connection chain=prerouting comment=out-in-ISP2 in-interface= lte1 new-connection-mark=from-ISP2-WAN passthrough=yes add action=mark-routing chain=prerouting connection -mark=from-ISP2-WAN new-routing-mark=to-ISP2-MR passthrough=yes add action=mark-routing chain=output connection-mark=from-ISP2-WAN new-routing-mark=to- Транзит через ISP2-MR=да добавить действие=отметить цепочку маршрутизации=вывести новую-маршрутизацию-отметить=к транзиту к ISP2-MR= да src-address=192.168.254.2
Направляем трафик по таблицам
/ip-route rule add src-address=192.168.10.254/32 table=table-ISP1 add src-address=192.168.254.2/32 table=table-ISP2 add dst-address=192.168.200.0/24 add table-ma mark =to-ISP1-MR таблица=таблица-ISP1 добавить метку маршрутизации=to-ISP2-MR таблица=таблица-ISP2
Маршруты по умолчанию в новых таблицах
/ip route добавить расстояние=10 шлюз=192.168.10.1 метка маршрутизации=таблица-ISP1 добавить расстояние=10 шлюз=192.168.254.1 метка маршрутизации=таблица-ISP2
Изображение должно выглядеть так
Автоматическое переключение WAN каналов
Последним шагом является настройка скрипта переключения каналов. Ранее я более подробно объяснял, как это работает. Нам нужно сообщить скрипту следующее (в номерах строк):
- Интерфейсы 2 и 4;
- Что пингуем, 6;
- Глобально поиск комментариев, 23-24;
- Переключитесь на основную, 28-29;
- Переход на бэкап, 35-36.
Те, которые мы настраиваем, меняются местами с расчетами в основной таблице, а также мы очищаем все соединения Connection Tracker по пути.
#Имя основного интерфейса :global MainIf ether1 #Имя интерфейса аварийного переключения :global RsrvIf lte1 :local PingCount 1 :local PingTargets {77.88.8.8; 8.8.8.8} :local host :local MainIfInetOk false :local RsrvIfInetOk false :local MainPings 0 :local RsrvPings 0 foreach host in=$PingTargets do={ :local res /ping $host count=$MainI interface set MainPings ($ MainPings + $res) :local res /ping $host count=$PingCount interface=$RsrvIf :set RsrvPings ($RsrvPings + $res) :delay 1 } :set MainIfInetOk ($MainPings >= 1) :set RsrvIfInetOk ($RsrvPings >= 1) :set «MainIfInetOk=$MainIfInetOk» :set «RsrvIfInetOk=$RsrvIfInetOk» :local MainGWDistance /ip route get find RsrvIfInetOk commentsISP1WD locist route get find comment=»ISP2″ Distance :put «MainGWDistance=$MainGWDistance» :put «RsrvGWDistance=$RsrvGWDistance» if ($MainIfInetOk && ($MainGWDistance >= $RsrvGWDistance)) do={ /ip route set [find comment=»ISP1″] Distance=10 /ip route set find comment=»ISP2″ Distance=20 :set «переключено на ОСНОВНОЕ подключение к Интернету» /loginfo «переключено на ОСНОВНОЕ подключение к Интернету» /ip-соединение с брандмауэром удалить [найти] } if (!$M ainIfInetOk && $ R srvIfInetOk && ($MainGWDistance <= $RsrvGWDistance)) do={ /ip route set [find comment=»ISP1″] Distance=20 /ip route set find comment=»ISP2″ Distance=10 :put » переключено на RESERVE подключение к Интернету» / информация журнала «переключено на РЕЗЕРВНОЕ подключение к Интернету» / IP-соединение с брандмауэром удалить [найти]
}
Еще раз все проверяем и создаем скрипт в системе.
Проверим, что нам покажет запуск скрипта.
Интернет недоступен для lte1. Причина — забыл вставить симку :). Мы исправим это.
Теперь на нашем домашнем Микротике, выступающем в роли провайдера, заблокируем ICMP и посмотрим, как происходит переключение каналов.
Как мы видим, метрика на резервном маршруте изменилась. Ставим команду запуска скрипта в планировщик и живем долго и счастливо.
На этом настройка резервного 4G канала с автоматическим переключением на микротик закончена. Можете смело отключать один из каналов и все у вас будет нормально работать. Единственная рекомендация — интервал запуска скрипта в планировщике должен быть не менее 15 секунд. Поскольку из-за тайм-аутов беспроводной сети сценарий может запуститься до завершения.
Читайте также: Как восстановить потерянные значки сети, звука и языка на панели
Этап 3. Настройка скрипта переключения
Мы будем использовать Netwatch в качестве основного инструмента переключения. В качестве примера мы сделали интервал проверки 15 секунд. В реальных условиях мы рекомендуем увеличить значение до 10 минут. Если основной канал активен, но нестабилен (потеря пакетов), роутер переключит интерфейсы. Следовательно, ни основной, ни резервный канал не будут работать корректно.
Сам скрипт выглядит так. Поиск осуществляется по комментариям, присвоенным маршрутам.
Поле OPP:
/ip-route отключить [find comment=»YOTA»] /ip-route enable [найти комментарий=»EFSOL»]
ВНИЗ поле:
/ip-route включить [find comment=»YOTA»] /ip-route отключить [find comment=»EFSOL»]
На этом настройка резервирования канала завершена.
Wi-Fi мост
Этот метод позволяет организовать беспроводное соединение между источником Интернета и объектом для получения услуги через мост Wi-Fi, который подключается к сети проводным способом. Самая большая сложность заключается в установке исходного оборудования, так как здесь могут возникнуть технические проблемы. Передающие блоки обычно устанавливаются на крышах многоэтажек для исключения помех сигнала, поэтому необходимо будет договориться с жильцами и обслуживающей компанией о защите блоков от кражи и бесперебойном электроснабжении.
После решения всех организационных задач метод моста Wi-Fi может предоставить дополнительный канал с высокой скоростью и такими характеристиками:
- дальность передачи сигнала до 10, не более 15 км;
- передача данных до 300 Мбит/с;
- стабильность линии.
Ежемесячная абонентская плата невысока. Но есть и минусы — высокая цена оборудования и сложность организации Wi-Fi моста.
2-й провайдер через lte usb модем
В качестве резервного поставщика было решено использовать модем LTE. Качество связи через них было приемлемым. Тарифные планы приемлемые, стоимость модемов невысокая. Mikrotik поддерживает большое количество usb-модемов, поэтому найти подходящий вариант несложно. Лично я сам моделей 4g модемов не видел, так как все настраивал удаленно. Использовались различные устройства и производители. В рамках задачи по настройке бэкапа это не принципиально, так как предложенный мной способ одинаково хорошо работает практически с любым бэкап-провайдером. Неважно, будет ли это через USB-модем или по проводу.
Пример одного из таких модемов, которым я лично пользуюсь сам, и он отлично работает в микротике. Модель — HUAWEI E3372h или МегаФон М150-2.
В общем, вы можете найти список гарантированно поддерживаемых usb-модемов в официальной вики — https://wiki.mikrotik.com/wiki/Manual:Peripherals. Перед настройкой резервирования рекомендую сделать базовую настройку микротика.
Использование сценария, запускаемого в Netwatch
Этот способ поможет вам настроить резервирование каналов, если один из провайдеров выдает динамические адреса в разных подсетях, например при подключении через 4G модем.
1. Задаем описания
Во-первых, вы должны ввести описание маршрутов. Это будет необходимо для скрипта, который будет работать с последними по заданным описаниям.
Развернуть в меню IP:
. и перейдите в Маршруты:
Открываем оба маршрута для редактирования через наших поставщиков и добавляем комментарий в поле для комментариев:
*поставщик 1.
* поставщик 2.
2. Настраиваем узел для проверки канала
Мы настроим узел, который ISP 1 будет пинговать. Если пинг пропал, нам нужно переключить активный интернет-канал на ISP 2. Также нужно заблокировать возможность пинговать тестовый узел от ISP 2.
И так, перейдем к настройке маршрутов:
Добавьте новый маршрут к управляющему узлу, например 77.88.8.2 (Яндекс DNS):
* в этой настройке задаем маршрут к тестовому узлу через шлюз 1.1.1.1 (в нашем примере это шлюз от провайдера 1).
Перейдите в IP-брандмауэр:
Создадим новое правило для запрета пинговать тестовую ноду через провайдера №2:
. выберите падение как действие:
3. Настройка задания в Netwatch
Перейдите в Инструменты — Netwatch:
Мы вводим новое правило. На вкладке Хост введите следующее:
* в этом примере мы будем проверять узел 77.88.8.2 раз в минуту.
На вкладке «Вверх» напишите:
/Набор IP-маршрутов [find comment=»ISP_1″] disabled=no
/ip route set [find comment=»ISP_2″] disabled=yes
…и на вкладке Вниз следующее:
/ip route set [find comment=»ISP_1″] disabled=yes
/ip route set [find comment=»ISP_2″] disabled=no
Нажмите «ОК.
Этап 2. Настройка маршрутов
Кратко опишем процесс проверки работы канала и алгоритм переключения на резервный канал и обратно.
Выберите IP-адрес в Интернете с высокой степенью доступности. В качестве примера возьмем IP 8.8.8.8.
Создаем дополнительный маршрут для основного канала (цифра 3 на рисунке ниже) и правило в таблице маршрутизации, жестко привязывающее прохождение трафика по каналу WAN1 в случае переключения на резервный канал, пакеты будут пытаться отправляться через новый маршрут по умолчанию.
Обозначения на рисунке:
- Стандартный маршрут для основного поставщика с комментарием EFSOL.
- Маршрут по умолчанию для резервного провайдера с комментарием YOTA.
- Новый маршрут находится вне основной таблицы маршрутизации. Создаем для него отдельное правило (см рисунок ниже).
Примечание:
Новому правилу должна быть назначена метка маршрутизации. В нашем случае мы назвали его — внутренним.
В качестве примера откроем маршрут по умолчанию для основного провайдера.
В поле Шлюз необходимо указать IP-адрес шлюза. WInbox предложит вам выбрать интерфейс по умолчанию. В этой версии прошивки эта функция работает некорректно. Если вы укажете имя интерфейса, маршрут не активируется.
Поле Pref.Source можно оставить пустым, но для большей надежности мы решили исправить прохождение трафика через этот шлюз.
Мы создаем правило, которое говорит нам, что весь трафик, идущий на адрес 8.8.8.8, должен маршрутизироваться только через внутреннюю таблицу.
Примечание:
Сначала создается маршрут и в него прописывается маркер маршрута, и только потом мы находим вновь созданный маркер маршрута в поле Table.
Настройка таблицы маршрутизации завершена.
Самодельный Mikrotik Wan Failover на 2 провайдера
Рассказываю как мой импровизированный wan failover в микротике будет работать на двух провайдеров. Я использую скрипт, который делает следующее:
- Пингует 2 разных IP-адреса в Интернете, каждый через отдельный интернет-канал. Для этого создаются статические маршруты.
- Если пинг идет не по основному каналу, а идет по резервному, происходит автоматическое переключение на резервный канал путем изменения маршрута по умолчанию.
- Затем такие же проверки проводятся снова. Как только пинг проходит по основному каналу, происходит переключение на него.
- Одновременно со сменой канала отсекаю все соединения tcp и udp, а также записываю информацию в лог. Делать это не обязательно, а конкретно мне это было нужно. Подрезаны соединения для быстрой смены sip телефонов и vpn соединения на микротике. И я пишу информацию в лог, так как она уходит на отдельный сервер, где она анализируется, в том числе и системой мониторинга.
Обязательным условием для работы этого механизма переключения каналов являются статические маршруты по умолчанию для каждого провайдера, так как я переключаю их с помощью скрипта. Даже если вы получаете настройки по dhcp, это не помеха. Вам просто нужно отключить получение маршрута по умолчанию и добавить его вручную.
Такой механизм практичен в том плане, что он точно определяет доступность интернета по тому или иному каналу. Если использовать встроенные проверки Микротика, они проверяют доступность шлюза провайдера и на основании этого делают вывод о наличии интернета. Но часто шлюз провайдера доступен, а интернета все равно нет.
3G/4G-модем
Основным типом соединения в домашней сети является технология Ethernet. Для его бронирования лучше всего воспользоваться 3G или 4G интернетом — услугой мобильного оператора. Это удобно, так как мобильная связь работает практически во всех населенных пунктах страны. Беспроводную стабильную линию предоставляют Мегафон, Билайн, МТС, Теле2 и некоторые местные операторы Вайнах Телеком, ФрешТел, Таттелеком и другие.
Для создания резервного соединения необходимо следующее оборудование:
- роутер с USB-портом;
- USB-модем 3G/4G;
- ethernet-соединение;
- активированная SIM-карта с оптимальным тарифным планом.
В настоящее время операторы все чаще выбирают технологию 4G и планируют в будущем охватывать улучшенную сеть 5G. Преимущества связи последних поколений:
- высокая скорость обмена данными – 150-300 Мбит/с (в идеальных условиях – до 1,2 Гбит/с);
- доступность сети – около 90 процентов покрытия территории страны;
- низкая стоимость оборудования и универсальность.
Из недостатков можно назвать сложность самостоятельной сборки и настройки.