Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Rumano 09. 12. 2017, 20:26:09
-
Ahoj
potrebujem vytvorit skript pre Mikrotik alebo Edgerouter na prepinanie dvoch WAN, aj zaplatim symbolickych 10 eur, je tu niekto skuseny v tomto?
-
Ahoj
potrebujem vytvorit skript pre Mikrotik alebo Edgerouter na prepinanie dvoch WAN, aj zaplatim symbolickych 10 eur, je tu niekto skuseny v tomto?
Jak chcete detekovat, kdy přepnout?
Pro směr dovnitř pojedou obě celou dobu, ale ven jen jedna (preferovaná vs. fallback)?
Nejvhodněji se to řeší přes VRF, ale default gatewaye musíte natahovat z main. Na to, aby to šlo, musí se to natahování buďto nascriptovat, nebo, lépe, obě konektivity musejí dávat statickou IP (klidně private).
Takže kroky:
1. nastavení VRF pro 2 konektivity,
2. odzkoušení, že funguje směr dovnitř z obou dvou zároveň,
3. teprve pak řešit směr ven - tedy default gw
Stačí toto jako indukce k řešení?
-
Jak chcete detekovat, kdy přepnout?
ping raz za minutu
Pro směr dovnitř pojedou obě celou dobu, ale ven jen jedna (preferovaná vs. fallback)?
to nie je poziadavka, WAN2 moze byt kludne kompletne vypnuty interface, podstatne je, kedze maju obe interfaces tu istu verejnu staticku IP, aby nesli pakety von z oboch naraz
po tom co zlyha ping z WAN1 dva krat po sebe (nemoze to byt po prvom neuspesnom pingu), chcem to prepnut na WAN2. Kedze ale WAN1 musi byt odvtedy vypnuty, nie je uz moznost testovat, ci WAN1 je znova online. Koli tomu musi este skript vytvorit cronjob na nejaku nocnu hodinu, kde sa vsetko prepne na WAN1, a ak je WAN1 stale down, skript znova prepne na WAN2.
Nie je to zlozite, ale kedze takyto skript som este nikdy nepisal, radsej nech mi ho niekto napise za tu symbolcku cenu :)
-
to nie je poziadavka, WAN2 moze byt kludne kompletne vypnuty interface, podstatne je, kedze maju obe interfaces tu istu verejnu staticku IP, aby nesli pakety von z oboch naraz
Jak mohou mít dvě různé cesty stejnou IP adresu?
Resp. ono to možné je, ale pak se takové přepínání provádí přes BGP.
-
jednoducho mam internet cez lan kabel a nanostation ako zalohu ak lan kabel alebo elektrina vypadne (zalozny zdroj potiahne antenu, router aj server). neplatim ale za 2 pripojky, iba za jednu, preto maju obe pripojenia tu istu IP a preto potrebujem tento script
-
jednoducho mam internet cez lan kabel a nanostation ako zalohu ak lan kabel alebo elektrina vypadne (zalozny zdroj potiahne antenu, router aj server). neplatim ale za 2 pripojky, iba za jednu, preto maju obe pripojenia tu istu IP a preto potrebujem tento script
A to druhé se spouští jak? Přeci to na obou koncích nemůže být trvale zapnuté se stejnou IP adresou.
-
Presne tak, nemozu byt obe zapojene naraz, preto potrebujem ten skript.
Prepina sa to rucnym prehodenim utp kabla medzi ich privodnym utp a nanostation. Je to ustretovy krok od ISP, aby som ja mal internet bez vypadku, a ISP nemusi posielat technika namontovat docasnu antenu pri dlhsom vypadku, usetri to cas obom stranam.
Je to velmi lahky sposob ako prekonat vypadok internetu, usetri to starosti obom stranam, netreba si platit za 2 pripojky a samozrejme ISP s takouto vyhodou je okamzite uprednostnovany kazdym zakaznikom (jeho sikovnost ze prisiel s takymto riesenim).
Jedine co to stalo, ze sme si museli kupit vlastnu Nanostation, co samozrejme nie je problem.
-
Presne tak, nemozu byt obe zapojene naraz, preto potrebujem ten skript.
Prepina sa to rucnym prehodenim UTP kabla medzi ich priovodom a nanostation. Je to ustretovy krok od ISP, aby som ja mal internet bez vypadku, a ISP nemusi posielat technika namontovat docasnu antenu pri dlhsom vypadku, usetri to cas obom stranam.
Takto se to neřeší, není to vhodné řešení.
Uděláte si dvě spojovací sítě:
WAN1(kabel): 10.0.0.1-10.0.0.2 (netmask /30, 255.255.255.252)
WAN2(wifi): 10.0.1.1-10.0.1.2 (netmask /30, 255.255.255.252)
Obě spojení budou trvale zapnutá, takže kdykoliv pingnete každou ze čtyř adres 10.0.0.1-2, 10.0.1.1-2.
Standardně budete mít default gateway 10.0.0.1, jen v případě výpadku budete mít 10.0.1.1.
To je standardní řešení, zbytek už budujete jen nad tímto.
Určitě NENÍ cesta mít dva spoje se stejnou IP adresou.
-
cesta je samozrejme platit si 2 pripojky, ale kedze firmam sa uctuje ina tarifa ako koncovym zakaznikom, a mesacne platime za 1 pripojku polovicu ceny 1 nanostation, som spokojny s tymto riesenim.
treba tu pochopit ze mam vyrieseny velky problem pre firmu - vypadok internetu, a nestoji to nic navyse (sanca na vypadok celeho ISP je zanedbatelna).
samozrejme ze dalsie riesenie by zrejme bolo mat dve lokalne IP a nechat ISP routrovat verejnu IP podla vypadku trasy, ale znova, taketo nieco by urcite zdvihlo mesacnu cenu za pripojenie.
Mozem sa este opytat, je nutne na taketo nieco Mikrotik, alebo to zvladne napr Edgerouter od Ubiquiti ?
-
cesta je samozrejme platit si 2 pripojky, ale kedze firmam sa uctuje ina tarifa ako koncovym zakaznikom, a mesacne platime za 1 pripojku takmer cenu 1 nanostation, som spokojny s tymto riesenim.
samozrejme ze riesenie by zrejme bolo mat dve lokalne IP a nechat ISP routrovat verejnu IP podla vypadku trasy, ale znova, taketo nieco by urcite zdvihlo mesacnu cenu za pripojenie.
Ale to se přeci nevylučuje. V bodě č. 1 rozdělíte konektivitu a budete ji routovat přes privátní rozsah č. 1 a přes rozsah č. 2. To lze i s jedním ISP.
-
Ako som editoval prispevok vyssie, problem je financna stranka. Za takuto extra pracu plus vyuzivanie hardware u ISP by som dostal vyuctovane tolko, ze lacnejsie by bolo platit si 2 pripojky. Neviem ci sa chapeme, ze obe pripojky, kabel aj nanostation je v rezii ISP, nie v mojej.
Mozem sa este opytat, je nutne na taketo nieco Mikrotik, alebo to zvladne napr Edgerouter od Ubiquiti ?
-
Obávám se, že Vám nerozumím. Pojďme to popsat od začátku.
Vy máte ve firmě 2 ethernet kabely, na obou je stejná IP adresa?
-
pochopili ste to spravne uz na zaciatku. mozem zopakovat:
2 privodne kable, jeden je privodny utp (zo switchov providera pre celu budovu ) a jeden je z nanostation, ktora smeruje na AP providera. Na oboch sposoboch pripojenia je rovnaka IP.
Ak mi vypadne hlavna linka, privodny internet utp kabel z mojho routeru vytiahnem a vlozim kabel z nanostation. a tento proces chcem zautomatizovat.
Vas napad z dvoma gateway vyzera dobre, povodne som chcel cez skript vypinat a zapinat ethernet porty (interface up/down) ale myslim, ze aj 2 gateway budu fungovat.
znova ta otazka, staci ubiquiti edge router? mikrotik je zlozitejsi na konfigurovanie.
-
znova ta otazka, staci ubiquiti edge router? mikrotik je zlozitejsi na konfigurovanie.
Nevím, Ubiquiti neznám vůbec dobře. Mikrotik znám jen díky tomu, že je založený na Linuxu/netfilteru.
Dvě GW jsou pro Vás jediné rozumné řešení, stejně jako Mikrotik.
Jestli se mýlím, prosím, nechť mě někdo poupraví.
-
v tom sa nevyznam, ale nebolo by to koplikovane? verejna IP -> 10.0.x.1 IP -> Lokalna 192.168.x.x ? Fungovalo by napr presmerovanie portov ?
rozmyslal som spojit WAN porty do nejakeho virtualne switchu, vzdy zapnut iba jeden z WAN portov a zvysne porty budu klasicka LAN, nepoznam ale vobec syntax tohto skriptovania, nejaky tip kde to zacat studovat?
-
Dobrý večer, ještě jednou,
Vaše řešení je na tolik nestandardní, že žádnému síťaři nedojde.
Samozřejmě, i přes dvě různé propojovací sítě je možné směrovat porty. Viz moje doporučení NEJPRVE rozchodit cestu DOVNITŘ skrz obě připojení, teprve pak řešit cestu ven a fallback.
-
sme na diskusnom fore a preto to rad preberiem, myslim ale ze riesenie s dvoma gateway nebude fungovat kedze budu obe naraz online. Tym padom sa na dvoch roznych miestach siete ISP prihlasia dve zariadenia s tou istou ip a mac (cez Nanostation a cez broadband).
Skusim sa zamerat na riesenie vyp a zap portov zo skriptu.
-
Script najdeš na ISPforum.cz
-
sme na diskusnom fore a preto to rad preberiem, myslim ale ze riesenie s dvoma gateway nebude fungovat kedze budu obe naraz online. Tym padom sa na dvoch roznych miestach siete ISP prihlasia dve zariadenia s tou istou ip a mac (cez Nanostation a cez broadband).
Skusim sa zamerat na riesenie vyp a zap portov zo skriptu.
To samozřejmě není pravda, musíte mít ty GW v jiných routovacích tabulkách (VRF).
Pokud je přístup k oběma stranám, je nejlepší udělat failover přes BGP (případně OSPF, i RIP bude fungovat - jen bude delší doba přepnutí).
Provoz obou linek zároveň je důležitý, aby se při přepnutí (zejména zpět) nerozpadly už navázaná spojení.
Vypínání a zapínání portů je zoufalost, která v profesionální síti nemá co dělat a dělají ji jen ti, kteří síťovat neumějí.
-
Pokud to chápu dobře ...
tazatel má u sebe router (L3 prvek), z něj jde ethernet buď do jednoho prvku ISP nebo do druhého prvku ISP.
Pokud stačí jen fyzicky přepojit "uplink", tak u tazatele se nemusí měnit nic, tohle je starost ISP, jak si to nakonfiguruje. A v principu se nemusí ani nic přeadresovávat na straně zákazníka.
-
Možná by stalo zato to řešit jako redundantni propoj, celkem dost věci by se tím vyřešilo samo
-
No z toho co pisete ma Vas ISP ze sitoveho pohledu obe Vase wan linky ve stejne Vlane a provoz posila vzdy te mac adrese ktera odesle posledni packet (mac adresa se prepne na jinej port na jejich switchi).. Reseni je mit zapojene obe linky najednou, napriklad v mikrotiku, spojit je do bridge (jeden logicky L3 interface) a provoz ven prepinat pres staticky arp zaznam vasi gatewaye (sparovana mac adresa s IP gw ktera bude jina pri provozu pres kabel x ubnt hracku). Prepinaci script bude mit problem s vracenim na primarni linku, protoze pouhym pingem to nezjisti. (musi prenastavit arp zpet a pak zkusit ping) Reseni nestastne, trosku prasacke, nicmene mozne.. Syntax scriptu najdete na ispforu, nikdo Vam ho na miru neudela, protoze nasimulovat Vasi situaci a odladit script je cca 4 hodky prace zkuseneho sitare ;) reseni pres vrfka je taky mozne, nicmene muze zpusobit providerovi flapovani mac adresy na jeho switchi, za coz Vas nemusi mit rad..
-
DOTAZ (upresnete zadani):
1) pokud pripojite jeden, nebo druhy ethernet kabelu do vaseho PC, dostavate IP adresu pred DHCP, nebo ji ve vasem zarizeni mate nastavenou napevno?
2) Je to pripojeni vazane na MAC adresu nebo tam muze byt obecne jakekoliv zarizeni? pokud misto toho vaseho PC, ktere ma unikatni MAC adresu pripojite jine PC (treba jiny Mikrotik router), zmeni se vam IP nebo se vubec na sit nedostanete?
3) muzete poslat traceroute 8.8.8.8 z obou pripojeni, abychom si mohli udelat obrazek o pripojeni (klidne vynechte posledni hopy, at neprozrazujete sveho poskytovatele)? zajimalo by me hlavne, zda je tam nekolikanasobny nat nebo ta cesta je pokazde steja a hrozi kolize, pokud by ping prisel z obou smeru najednou
MOJE RESENI, bez konkretni znalosti:
a) nejsem si jisty, zda Mikrotik dokaze nastavit 2 interface na stejnou IP adresu a/nebo stejnou MAC. Pokud to nelze, tak si poridim 2 ks routerboardu a na oba dva konce ethernet kabelu dat zvast Mikrotik RB, rekneme ze je oznacime RB1 a RB2
b) na RB1 nastavit napr. sit 192.168.1.x a na RB2 nastavit sit 192.168.2.x.
c) Obe site budou za NATem a z venku, tj. od poskytovatele k vam primo nedostupne
d) Skriptem dle dostupneho pingu budu prepinat napr. default GW v DHCP, ktere budu pridelovat klientovi, tedy. Jednou dostane PC IP adresu, kde default GW bude napr. 192.168.1.254, pokud ta cesta nebude dostupna tak 192.168.2.254
-
A co proste v pripade selhani ping na eth0 zavolat
ip link set dev eth0 down
ip link set dev eth1 up
Mozna je tu ocividny problem ktery ja nevidim, ale zda se mi, ze to resi presne to, co tazatel chce.
-
Pokud ta gatwaz IP je fakticky jendo zřízení dostupné dvěma L2 cestama, tak pokud si domluvíe zpnutí RSTP, tak můžeze přepínt auoamtick pomocí něj. Ty eth a eth2 dám do bridge, IP adresu dám an bridge, zpnu RSTP, trasu přes rádio s větší cost, ať j záložní, pro jsitotu zpnu izolci portů, ať nejde smyčla přes mě.
Takže bch se zdvořile zeptal u ISPíka, zd by to šlo a mám to automaticky.
-
dakujem vsetkym za rady.
@nevim_co_sem_mam_dat
- je to staticka IP pre obe pripojenia, maska aj gateway je tiez ta ista
- pripojenie nie je viazanie na MAC adresu
- tracert momentalne urobit neviem, podla inych pripojeni to bude ale tak, ze tracert bude rovnaky pre obidve linky a to: 1. hop je moj router a 2. hop je gateway od ISP
@y,
presne toto som planoval od zaciatku, aj ked vacsina sprav tu presla k zlozitejsim rieseniam.
@M.
ano to skusim, optam sa ISP na RSTP, ak nebude suhlasit alebo mi povie, ze si musim zaplatit 2 pripojenia, prejdem k povodnemu planu
-
@Pavel R
nechapem ako nastavit ten staticky ARP zaznam. teraz ked rucne prepnem router z privodneho utp na nanostation, mac adresa mojho zariadenia je vzdy ta ista (vzdy ten isty router). preto som skor uvazoval nad vyp a zap portov.
Riesenie ako sa prepnut naspat na primarnu linku je podla mna iba nastavit cron aby v noci prepol tieto linky (a skrip ktory testuje stav primarnej linky zas zapne zaloznu linku, ak primarna je stale offline).
-
kedze sa tu nedaju editovat prispevky:
@@nevim_co_sem_mam_dat
este dotaz k tomu prepinaniu gateway pre klientov cez DHCP, nezlyha to na tom, ze ked klient dostane IP tak si pyta IP znova az po uplynuti (polovice) leased time? ako mohol by byt lease time 1 minute, ale neviem ci je to dobre riesenie.
-
kedze sa tu nedaju editovat prispevky:
@@nevim_co_sem_mam_dat
este dotaz k tomu prepinaniu gateway pre klientov cez DHCP, nezlyha to na tom, ze ked klient dostane IP tak si pyta IP znova az po uplynuti (polovice) leased time? ako mohol by byt lease time 1 minute, ale neviem ci je to dobre riesenie.
Pokud varianta s dvěma RB, tak než šaškovat s přepínáním pomocí DHCP, tak na těch RB na LAN straně použít VRRP, který přepne mezi RBčky IP brány LAN segmentu na to RB, které má funkční cestu ven. Celkem běžně používaná technika. RB pomocí ping testuje dostupnost ven a podle toho, zde je/není inet dostupný, mění prioritu VRRP rozhraní a dle toho se IP brány aktivuje na tom RBčku, které vidí ven (a má vyší prioritu vrrp). VRRP i řeší, že pokud umře celý jeden router, tak za cca 4 sekundy to převezme na sebe ten druhý automaticky. :-)
-
Staticky ARP zaznam samozrejme pro IP Vasi gatewaye (pokud vidite stejnou MAC adresu gatewaye pri pouzivani obou linek, jedine reseni je vrf) :) No vsichni samozrejme tipujem, protoze nevidime do nastaveni Vaseho providera. Ja sem popsal reseni pokud mate obe linky predany na L2 (jelikoz mate stejne L3 pro obe linky tak je to nejpravdepodobnejsi) Samozrejme muzete resit i pres VRF pro wan linky a menit policy base routing..
-
Pokud jsem to správně pochopil, tak máte jednu linku (ve smyslu: IP adresa + pásmo) a můžete ji čerpat jednou ze dvou tras, které končí ve stejné vlan ve stejném bodě.
Na mikrotiku máte dvě možnosti, hodit oba WANy do birdge, tomu bridgi nastavit přidělenou veřejku od ISP a pomoci /tool netwatch hlídat dostupnost výchozí GW a jeden port shodit a druhý nahodit. Ale to je celkem prasárna, do tohoto bych nešel - musíte ošetřit hromadu stavů (např. když není připojen ani jeden iface apod...).
Druhá možnost je dát oba WANy též do bridge, tomu bridgi přidělit veřejnou IP a využití portu řešit pomocí RSTP. Ale pro to je nutná podpora na straně ISP (jeho switche mohou zahazovat BPDU rámce a máte po srandě) a nevím, zda rozumný ISP pustí do své infrastruktury "zákazníkovo" (R)STP.
IMO nejlepší řešení by bylo domluvit se s ISP na dvou linkách, přičemž tu druhou Vám zpoplatní jako zálohu nějakým symbolickým poplatkem (budete využívat jen kapacitu jedné linky). Pro každou linku si nahodíte IP a GW na jednom iface a půjdete podle tohoto návodu https://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting v jednodušším podání viz zde https://wiki.mikrotik.com/wiki/Two_gateways_failover
Takhle to jde bez skriptování se všemi jeho nevýhodami.
Jen pro info, potřebujete si před výpadkem pojistit výnosný bussiness kde je potřeba být online, nebo to řešíte kvůli EET?
-
Nie je to prave tak, ze tu tazim bitcoin cez dialup :) Je to hlavne preto, ak nie som v dosahu firmy a vypadne internet. Ak uz mate nejaku prax za sebou, viete, ze bezny clovek, o to viac zamestnanec, neurobi nic, co nema v popise prace. Prehodit lan kabel je nad usilie akejkolvek sekretarky.
Aktualne ISP vyriesil problem tak, ze tu dal router s klasickou funkciou failover. Kedze tato funkcia pinguje obidva WAN porty, a oba porty maju rovnaku MAC a IP, (dufam ze spravne) predpokladam, ze teraz chodi traffic striedavo cez prvy aj druhy WAN, podla toho odkial bol posledny ping. Zatial nemam heslo na antenu/router aby som to overil.
Ale to je celkem prasárna, do tohoto bych nešel - musíte ošetřit hromadu stavů (např. když není připojen ani jeden iface apod...).
Ako som uz pisal predtym, az tak prasarna to nie je. Ak WAN1 zlyha, prepne sa to na WAN2 a v stanoveny cas (cron) sa to prepne naspat na WAN1. Ak nebude pripojeny ani jeden iface, bude to teda na WAN2 bez nutnosti osetrit nejake dalsie stavy.