Автоподключение резервного канала интернета. Есть замена микротику?

Question

[PrAw]

Есть проблема в удаленном офисе - относительно нестабильный интернет.
Входит 2 провайдера - PPPoE по оптике через медиаконвертор и WiMax роутер отдает ethernet.

Требуется обеспечить офис вайфаем, возможностью удаленного впн подключения в сеть, проброса портов и автоматическим переключением на резервного провайдера. Возможно поддержка заодно 4G модема.

Просто балансировка нагрузки между провайдерами не вариант - альтернативный канал хорошо лагает.

На данный момент работает на входе MikroTik RB951G-2HnD, поднятие резервного канала реализовано через 2 маршрута с пингом гейта по оптике
(
/ip route add gateway=192.168.1.1 check-gateway=ping
/ip route add gateway=192.168.2.1 distance=2
).

Переключаться получается, а вот обратно переключение разве что с перезагрузкой.
Костыльные велосипеды на скриптах тоже стабильностью и предсказуемостью не блещут.

Нужна железка уровня запустил и забыл где она находится.
Текущая ситуация начальство так достала, что есть бюджет в пределах 1000 долларов.

На данный момент есть вот такой весёлый баг
forum.mikrotik.com/viewtopic.php?f=2&t=99179

Что выбрать (и на что мозгов хватит)? Или как настроить один раз и навсегда микротика?

UPD: смотрю в сторону цисок, хотя там тоже есть свой треш и угар.

UPD2: в качестве альтернативы была рекомендована Cisco 881, отложу это на очень далёкое будущее, хотя фрагмент конфига, отвечающий за собственно failover оказался заметно лучше решения на микротике:

track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 X.X.X.X track 1 Здесь роут через Def GW 1-го прова
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y 20 - Здесь роут через Def GW 2-го прова
ip sla 1
icmp-echo 77.88.8.8 source-interface Dialer1
frequency 5
ip sla schedule 1 life forever start-time now

плюс обработчик эвента, который чистит таблицы nat translation

С полки достал старый пыльный Zyxel Keenetic со второй версией прошивки. Да. галочки нужные есть, можно было и на нём поднять решение, но Wi-Fi у него слабоват для тех условий (с него переехали на микротика)

FINAL:
Итоговое решение было сделано на основе ответа Mihail_Manowar . Переключение в течение максимум двух минут.

Плюс в настройках был найден мой баг (спасибо Grustnui ) - на bridge-local висели ether2 (воткнуто в железку WiMax с собственным DHCP), wlan1 и прочие. Собственный DHCP сервер микротика выдерживал паузу соответственно стандартным настройкам и не успевал ответить вовремя.
В итоге юзер цепляясь на ви-фи получал адрес, присвоенный железкой WiMax, поэтому по локалке бегало прилично, а вот интернет был жутко медленным, поскольку выходил через медленный резервный канал.

Итоговое распределение портов -
ether1 - оптика
ether2 - WiMax роутер
В bridge-local входят:
ether3-5 локалка
wlan1

Спасибо всем ответившим!

Answer 1

[Rad1us]

netwatch на микротике пробовали?

Например вот так настроить можно.

Comments

[PrAw]

Да, пока в этом направлении и работаю, но хочу посмотреть альтернативы вообще за пределами микротика.

[Иван]

remzalp: имхо их просто нет. Как ни странно я как раз пришёл к микроту после пользования другими решениями. Кстати для отработки настройки отбоя по каналам можно потренероваться на виртуалках.

Answer 2

[Mihail_Manowar]

Достаточно практичный способ описан в статье habrahabr.ru/post/141785
Правда пришлось его немного допилить:
1)изменил весовые коэффициенты относительно которых скрипт принимает решение о состоянии конкретного WAN В моём случае получается что если из четырёх пингуемых узлов доступно менее двух - скрит принимает решение о неиправности WAN.
2) Расписал маршруты до каждого пингуемого узла, чтобы пингуемый узел пинговался через тот WAN для проверки которого он предназначен

Далее все как описанно в статье:
- Создал два NAT

- Остальные три скрипта - как в вышеупомянутой статье

Получившийся набор скриптов четко отрабатывает в моей сети уже около года.
Переходит на резервный WAN при выполнении двух условий (Основной WAN валяется и с резервным всё в порядке)
Если оба вана валяются - скрипт ничего не делает.
Преходит на основной сразу-же как он становится исправным независимо от состояния резерного.

Не рекомендуется использовать этот метод если ван валяется по несколько десяток раз в сутки, т.к. через пару лет может закончится ресурс во Flash памяти в маршрутизаторе. Ведь каждое переключение - это процесс записи и применение новых настроек маршрутизации (метрик NAT-ов).

Comments

[PrAw]

вот примерно такого ответа я и ждал! Спасибо!

Answer 3

[Grustnui]

Про баг с DHCP - если трафик через роутер относительно небольшой, то можно попробовать собрать бридж без использования возможностей чипа коммутации и проверить как оно всё работает.
Заместо

/interface ethernet
set [ find default-name=ether1 ] name=ether1-fiberisp
set [ find default-name=ether2 ] name=ether2-radioisp
set [ find default-name=ether3 ] name=ether3-master-local
set [ find default-name=ether4 ] master-port=ether3-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether3-master-local name=ether5-slave-local

/interface bridge port
add bridge=bridge-local interface=ether3-master-local
add bridge=bridge-local interface=wlan1

Можно попробовать что нить вида:
/interface ethernet
set [ find default-name=ether1 ] name=ether1-fiberisp
set [ find default-name=ether2 ] name=ether2-radioisp
set [ find default-name=ether3 ] name=ether3-master-local
set [ find default-name=ether4 ] name=ether4-slave-local
set [ find default-name=ether5 ] name=ether5-slave-local

/interface bridge port
add bridge=bridge-local interface=ether3-master-local
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether4-slave-local
add bridge=bridge-local interface=ether5-slave-local

Менее производительно но более прозрачно.

Далее идем в настройки беспроводной сети и проверяем режим работы : должно быть ap-bridge
/interface wireless export
# aug/06/2015 15:51:23 by RouterOS 6.29.1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
distance=indoors l2mtu=1600 mode=ap-bridge

Чтобы исключить глупые случайности советую на время проверки вытащить патчи 3-4-5 из роутера а в 3й например воткнуть свой компьютер.

Далее про переключения - как уже было сказано выше попробуйте в явной виде задать distance = 1 для первого маршрута. Также хочу отметить, что и без всяких скриптов нетвочей и прочего можно проверять check-gateway'ем не только шлюз по умолчанию, но и любые другие ip.

Дока на английском тут

Пример реализации из моего рабочего конфига : для проверки доступности используются DNS Яндекса (77.88.X.X)
/ip route
add check-gateway=ping comment="Main MTS Gateway" distance=2 gateway=77.88.8.1
add check-gateway=ping comment="Main Megafon Gateway" distance=3 gateway=77.88.8.8
add comment="fake gateway MTS" distance=1 dst-address=77.88.8.1/32 gateway=93.187.180.XXX scope=10
add comment="fake gateway Megafon" distance=1 dst-address=77.88.8.8/32 gateway=79.171.12.XXX scope=10

Если не получится: напишите как с вами связаться. Попробую помочь.

Comments

[PrAw]

адрес в профиле. Подозреваю что от radioisp просвечивает его DHCP сервер, пролезает на бридж и подсовывает себя на wlan интерфейс, хочу вообще всё по вланам с явными фильтрами доступа разнести. Буду рад общению.

Answer 4

[Иван]

Реализуемо на любом спец дистрибе аля pfSense, Vyatta итп. Можно тупо на линухе или бсд'е сделать. Но я бы таки выбрал микрот. На NAG.RU и ютубе есть гайды по настройке, сдается вы просто где-то накосячили.

PS
У вас что, так часто оптика падает? Может надо это... прочистить прову дымоход?

PSS
Кстати в классическом MikroTik RB2011UiAS-IN есть SFP, может вашего прова напрямую воткнуть?

Comments

[PrAw]

Вариант с выделенным компом в качестве шлюза рассматривался, хочется для начала посмотреть в сторону более компактных и энергоэкономичных вещей.

Чистка прову дымохода не помогает, альтернатив по инету особо нет.

SFP выглядит полезным, но собственно с линком до оптики вопросов нет, затыки на PPPoE сервере

[Иван]

remzalp: ну вполне возможно, что траблы не в канале и серве, а глючности приемного железа?

Answer 5

[MinamotoSoft]

реальная замена микротику это нетбоард (х86) минимум на 3 интерфейса и туда прошить pfsense.org Фэйловер и лоадбалансинг в этой штуке есть внутри и работает как часы. Время переключения - секунды. Ставить реализацию не фулл-инсталл а эмбедед. Работает по принцыпу - включил и забыл. Железку можно взять вот такую на вырост ru.aliexpress.com/store/product/Hot-sales-C1037U-m... там же есть варианты сразу в корпусе (лучше брать в корпусе а то потом долго пилить надо). На борту ММС карта с прошивкой. ОЗУ - по потребностям.

Comments

[PrAw]

Спасибо, суперская идея. Возьму на вооружение для другого проекта

Answer 6

[Александр Матковский]

У меня mikrotik на ура переключает каналы. При это шупает не шлюзы, а 3 назначенных узла.

Также всё на том же mikrotik устроенно резервирование, методом поднятия 3G модема. Т.е. если wan1 упал, подымается pptp через usb 3g модем.

Всё это самописными скриптами.

Comments

[PrAw]

предложил бы похвастаться скриптами

Answer 7

[Александр]

Как вариант для замены Микротика: попробуйте juniper srx. Мы используем на 50+ точек (srx 240 ядро, на точках srx100). У нас используется для ipsec тунелей, переключения на резервный канал и в качестве фаервола. По настройке сложнее Микротика, примерно на уровне Cisco (но и надёжность на таком же уровне, а цена ниже). Единственное но, это модели без wi-fi.

Comments

[PrAw]

Некоторый перебор получается, но тоже в копилку.