Mikrotik – 2 WAN interfejsa u isto vreme
U današnje vreme, imajući u vidu da nam mnoge poslovne aktivnosti zavise od interneta, neophodno je imati alternativu i backup za slučaj nefunkcionalnosti primarnog internet linka.
U slučaju 2 internet linka, nije loše namestiti da se u svakom momentu kritičnim servisima može pristupiti preko oba internet linka.
Potrebno je postaviti par firewall pravila:
1. Redirektovanje dolaznog saobraćaja po WAN1 i WAN2 na lokalni server:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan1 action=dst-nat to-addresses=192.168.0.1 to-ports=22
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan2 action=dst-nat to-addresses=192.168.0.1 to-ports=22
2. Podešavanje da što dodđe sa interfejsa WAN1 se po istom interfejsu i vrati, kako bismo ibegli asimetrično rutiranje:
/ip firewall mangle add action=mark-connection chain=input in-interface=wan1 new-connection-mark=wan1_conn passthrough=yes disabled=no comment="in wan1,out wan1"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no disabled=no comment="in wan1,out wan1"
3. Podešavanje da što dođe sa interfejsa WAN2 se po istom interfejsu i vrati, takođe radi izbegavanja asimetričnog rutiranja:
/ip firewall mangle add action=mark-connection chain=input in-interface=wan2 new-connection-mark=wan2_conn passthrough=yes disabled=no comment="in wan2,out wan2"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no disabled=no comment="in wan2,out wan2"
4. Forwardovani portovi sa interfejsa WAN1 izlaze kroz WAN1
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan1 connection-state=new new-connection-mark=wan1_pfw passthrough=no disabled=no comment="pfw wan1, out wan1"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan1_pfw new-routing-mark=wan1_traffic passthrough=no disabled=no comment="pfw wan1, out wan1"
5. Takođe i za WAN2 interfejs:
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan2 connection-state=new new-connection-mark=wan2_pfw passthrough=no disabled=no comment="pfw wan2, out wan2"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan2_pfw new-routing-mark=wan2_traffic passthrough=no disabled=no comment="pfw wan2, out wan2"
6. Pravila za rutiranje saobraćaja kroz WAN1 i WAN2 interfejs:
/ip route add dst-address=0.0.0.0/0 gateway=wan1 distance=1 routing-mark=wan1_traffic disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=wan2 distance=1 routing-mark=wan2_traffic disabled=no
Da bismo napravili jednostavan failover potrebno je za test IP adresu (u našem slučaju 8.8.4.4) postaviti firewall pravila da može da izađe samo preko WAN1 linka, dok je za drugi link potrebno postoviti u chain output za test adresu DROP pravilo.
Zatim napraviti skriptu koja proverava dostupnost adrese i menja rute:
/system script
local result
:set result [/ping address=8.8.4.4 count=2]
if ($result = "0") do={
if (([/ip route get [:ip route find comment="failover"] disabled])=true) do={/ip route enable [:ip route find comment ="failover"]}} else={
if (([/ip route get [:ip route find comment="failover"] disabled])=false) do={
/ip route disable [:ip route find comment ="failover"]}}
Postoje i drugi načini, a njima ćemo se baviti u nekom od narednih postova.
