Skript pro Mikrotik/EdgeRouter k přepínání dvou WAN

[Miroslav Šilhavý]

Dobrý večer, ještě jednou,
Vaše řešení je na tolik nestandardní, že žádnému síťaři nedojde.

Samozřejmě, i přes dvě různé propojovací sítě je možné směrovat porty. Viz moje doporučení NEJPRVE rozchodit cestu DOVNITŘ skrz obě připojení, teprve pak řešit cestu ven a fallback.

[Reklama]

[Rumano]

sme na diskusnom fore a preto to rad preberiem, myslim ale ze riesenie s dvoma gateway nebude fungovat kedze budu obe naraz online. Tym padom sa na dvoch roznych miestach siete ISP prihlasia dve zariadenia s tou istou ip a mac (cez Nanostation a cez broadband).

Skusim sa zamerat na riesenie vyp a zap portov zo skriptu.

[mac0112]

Script najdeš na ISPforum.cz

[Miroslav Šilhavý]

sme na diskusnom fore a preto to rad preberiem, myslim ale ze riesenie s dvoma gateway nebude fungovat kedze budu obe naraz online. Tym padom sa na dvoch roznych miestach siete ISP prihlasia dve zariadenia s tou istou ip a mac (cez Nanostation a cez broadband).

Skusim sa zamerat na riesenie vyp a zap portov zo skriptu.

To samozřejmě není pravda, musíte mít ty GW v jiných routovacích tabulkách (VRF).
Pokud je přístup k oběma stranám, je nejlepší udělat failover přes BGP (případně OSPF, i RIP bude fungovat - jen bude delší doba přepnutí).

Provoz obou linek zároveň je důležitý, aby se při přepnutí (zejména zpět) nerozpadly už navázaná spojení.

Vypínání a zapínání portů je zoufalost, která v profesionální síti nemá co dělat a dělají ji jen ti, kteří síťovat neumějí.

[V.]

Pokud to chápu dobře ...

tazatel má u sebe router (L3 prvek), z něj jde ethernet buď do jednoho prvku ISP nebo do druhého prvku ISP.

Pokud stačí jen fyzicky přepojit "uplink", tak u tazatele se nemusí měnit nic, tohle je starost ISP, jak si to nakonfiguruje. A v principu se nemusí ani nic přeadresovávat na straně zákazníka.

[Reklama]

[Hans]

Možná by stalo zato to řešit jako redundantni propoj, celkem dost věci by se tím vyřešilo samo

[Pavel R]

No z toho co pisete ma Vas ISP ze sitoveho pohledu obe Vase wan linky ve stejne Vlane a provoz posila vzdy te mac adrese ktera odesle posledni packet (mac adresa se prepne na jinej port na jejich switchi)..   Reseni je mit zapojene obe linky najednou, napriklad v mikrotiku, spojit je do bridge (jeden logicky L3 interface) a provoz ven prepinat pres staticky arp zaznam vasi gatewaye (sparovana mac adresa s IP gw ktera bude jina pri provozu pres kabel x ubnt hracku). Prepinaci script bude mit problem s vracenim na primarni linku, protoze pouhym pingem to nezjisti. (musi prenastavit arp zpet a pak zkusit ping) Reseni nestastne, trosku prasacke, nicmene mozne..  Syntax scriptu najdete na ispforu, nikdo Vam ho na miru neudela, protoze nasimulovat Vasi situaci a odladit script je cca 4 hodky prace zkuseneho sitare reseni pres vrfka je taky mozne, nicmene muze zpusobit providerovi flapovani mac adresy na jeho switchi, za coz Vas nemusi mit rad..

[nevim_co_sem_mam_dat]

DOTAZ (upresnete zadani):

1) pokud pripojite jeden, nebo druhy ethernet kabelu do vaseho PC, dostavate IP adresu pred DHCP, nebo ji ve vasem zarizeni mate nastavenou napevno?
2) Je to pripojeni vazane na MAC adresu nebo tam muze byt obecne jakekoliv zarizeni? pokud misto toho vaseho PC, ktere ma unikatni MAC adresu pripojite jine PC (treba jiny Mikrotik router), zmeni se vam IP nebo se vubec na sit nedostanete?
3) muzete poslat traceroute 8.8.8.8 z obou pripojeni, abychom si mohli udelat obrazek o pripojeni (klidne vynechte posledni hopy, at neprozrazujete sveho poskytovatele)? zajimalo by me hlavne, zda je tam nekolikanasobny nat nebo ta cesta je pokazde steja a hrozi kolize, pokud by ping prisel z obou smeru najednou

MOJE RESENI, bez konkretni znalosti:
a) nejsem si jisty, zda Mikrotik dokaze nastavit 2 interface na stejnou IP adresu a/nebo stejnou MAC. Pokud to nelze, tak si poridim 2 ks routerboardu a na oba dva konce ethernet kabelu dat zvast Mikrotik RB, rekneme ze je oznacime RB1 a RB2
b) na RB1 nastavit napr. sit 192.168.1.x a na RB2 nastavit sit 192.168.2.x.
c) Obe site budou za NATem a z venku, tj. od poskytovatele k vam primo nedostupne
d) Skriptem dle dostupneho pingu budu prepinat napr. default GW v DHCP, ktere budu pridelovat klientovi, tedy. Jednou dostane PC IP adresu, kde default GW bude napr. 192.168.1.254, pokud ta cesta nebude dostupna tak 192.168.2.254

[y,]

A co proste v pripade selhani ping na eth0 zavolat

Kód: [Vybrat]

ip link set dev eth0 down
ip link set dev eth1 up


Mozna je tu ocividny problem ktery ja nevidim, ale zda se mi, ze to resi presne to, co tazatel chce.

[M.]

Pokud ta gatwaz IP je fakticky jendo zřízení dostupné dvěma L2 cestama, tak pokud si domluvíe zpnutí RSTP, tak můžeze přepínt auoamtick pomocí něj. Ty eth a eth2 dám do bridge, IP adresu dám an bridge, zpnu RSTP, trasu přes rádio s větší cost, ať j záložní, pro jsitotu zpnu izolci portů, ať nejde smyčla přes mě.
Takže bch se zdvořile zeptal u ISPíka, zd by to šlo a mám to automaticky.

[Rumano]

dakujem vsetkym za rady.

@nevim_co_sem_mam_dat
- je to staticka IP pre obe pripojenia, maska aj gateway je tiez ta ista
- pripojenie nie je viazanie na MAC adresu
- tracert momentalne urobit neviem, podla inych pripojeni to bude ale tak, ze tracert bude rovnaky pre obidve linky a to: 1. hop je moj router a 2. hop je gateway od ISP

@y,
presne toto som planoval od zaciatku, aj ked vacsina sprav tu presla k zlozitejsim rieseniam.

@M.
ano to skusim, optam sa ISP na RSTP, ak nebude suhlasit alebo mi povie, ze si musim zaplatit 2 pripojenia, prejdem k povodnemu planu

[Rumano]

@Pavel R
nechapem ako nastavit ten staticky ARP zaznam. teraz ked rucne prepnem router z privodneho utp na nanostation, mac adresa mojho zariadenia je vzdy ta ista (vzdy ten isty router). preto som skor uvazoval nad vyp a zap portov.
Riesenie ako sa prepnut naspat na primarnu linku je podla mna iba nastavit cron aby v noci prepol tieto linky (a skrip ktory testuje stav primarnej linky zas zapne zaloznu linku, ak primarna je stale offline).

[Rumano]

kedze sa tu nedaju editovat prispevky:

@@nevim_co_sem_mam_dat
este dotaz k tomu prepinaniu gateway pre klientov cez DHCP, nezlyha to na tom, ze ked klient dostane IP tak si pyta IP znova az po uplynuti (polovice) leased time? ako mohol by byt lease time 1 minute, ale neviem ci je to dobre riesenie.

[M.]

kedze sa tu nedaju editovat prispevky:

@@nevim_co_sem_mam_dat
este dotaz k tomu prepinaniu gateway pre klientov cez DHCP, nezlyha to na tom, ze ked klient dostane IP tak si pyta IP znova az po uplynuti (polovice) leased time? ako mohol by byt lease time 1 minute, ale neviem ci je to dobre riesenie.

Pokud varianta s dvěma RB, tak než šaškovat s přepínáním pomocí DHCP, tak na těch RB na LAN straně použít VRRP, který přepne mezi RBčky IP brány LAN segmentu na to RB, které má funkční cestu ven. Celkem běžně používaná technika. RB pomocí ping testuje dostupnost ven a podle toho, zde je/není inet dostupný, mění prioritu VRRP rozhraní a dle toho se IP brány aktivuje na tom RBčku, které vidí ven (a má vyší prioritu vrrp). VRRP i řeší, že pokud umře celý jeden router, tak za cca 4 sekundy to převezme na sebe ten druhý automaticky. :-)

[Pavel R]

Staticky ARP zaznam samozrejme pro IP Vasi gatewaye (pokud vidite stejnou MAC adresu gatewaye pri pouzivani obou linek, jedine reseni je vrf)  No vsichni samozrejme tipujem, protoze nevidime do nastaveni Vaseho providera. Ja sem popsal reseni pokud mate obe linky predany na L2 (jelikoz mate stejne L3 pro obe linky tak je to nejpravdepodobnejsi) Samozrejme muzete resit i pres VRF pro wan linky a menit policy base routing..