Как понять процесс работы failover на mikrotik с двумя WAN?

Question

[MarvinD]

Есть пример: wiki.mikrotik.com/wiki/Advanced_Routing_Failover_w...

Я рассматриваю расширенный вариант с проверками 4 хостов (2 через ISP1, и еще 2 других хоста через ISP2). В общих чертах идея ясная, у меня все работает, но с доработками, но не в них вопрос, а в ясности процесса. На всякий случай, я видел статьи и на хабре и много где еще.

Хочется понять, что должно быть добавлено к официальному wiki, которое я привел выше.

Привожу код (пронумерую строки, ясное дело, в скрипте нумерации нет):

1) /ip route
2) add dst-address=Host1A gateway=GW1 scope=10
3) add dst-address=Host1B gateway=GW1 scope=10
4) add dst-address=Host2A gateway=GW2 scope=10
5) add dst-address=Host2B gateway=GW2 scope=10

6) add dst-address=GW1 gateway=Host1A scope=10 target-scope=10 check-gateway=ping
7) add dst-address=GW1 gateway=Host1B scope=10 target-scope=10 check-gateway=ping
8) add dst-address=GW2 gateway=Host2A scope=10 target-scope=10 check-gateway=ping
9) add dst-address=GW2 gateway=Host2B scope=10 target-scope=10 check-gateway=ping

check-gateway=ping проверяет доступность хоста, указанного как шлюз (Host1A...Host2B, я использовал 8.8.8.8, 8.8.4.4 и еще два других IP). Если он не доступен, то шлюз помечается как недействующий (офиц. wiki: Periodically (every 10 seconds) check gateway by sending either ICMP echo request (ping) or ARP request (arp). If no response from gateway is received for 10 seconds, request times out. After two timeouts gateway is considered unreachable. After receiving reply from gateway it is considered reachable and timeout counter is reset.).

Какие при этом должны быть прописаны дефолтные маршруты?

Первое, что приходит в голову (default listing v.1):

add dst-address=0.0.0.0/0 gateway=GW1 distance=1
add dst-address=0.0.0.0/0 gateway=GW2 distance=2

не будут работать как failover, т.к. даже если ISP1 рухнет и Host1A и Host1B станут недоступными, это никак не отразится на маршрутах по-умолчанию (0.0.0.0/0).

Вот такой вариант (default listing v.2):

/ip route add dst-address=0.0.0.0/0 gateway=Host1A distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=Host2A distance=2 check-gateway=ping

мне ясен, он работает. Но он:

1. работает вовсе не завися от строк 6)-9), они просто не нужны при таком раскладе.
   
2. не дает преимущества проверки доступности сразу двух хостов через ISP1 и других двух хостов через ISP2
   

Если "доработать" пример из wiki, снабдить дефолтные маршруты метками ISP1 и ISP2 соответственно, то с помощью Netwatch можно создать задания, которые при недоступности Host1A выполнят что-то вроде:
/ip route disable [find comment="ISP1"]
а при доступности:
/ip route enable [find comment="ISP1"]

Все здорово, и так тоже работает.
Вопрос: почему в wiki по ссылке в начале вообще ничего не сказано про дефолтные маршруты? Подразумевается, что читающий сам допрет, что надо как-то изворачиваться? Зачем даны строки 6)-9) - я так и не понял их реальное функционирование. Можете прояснить для меня цепочку?

Comments

[123459]

https://m.habrahabr.ru/post/319082/ - это вы тоже видели? (я знаю что это не ответ)

[MarvinD]

123459: Да, видел. Там тоже самое, что мне понятно и о чем я уже писал:

# укажем 2 default gateway через узлы путь к которым указан рекурсивно
/ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping

Проверяются ping-ами дефолтные маршруты. Соответсятвенно и выключается при случае дефолтный маршрут. А мне не ясно, зачем в wiki (ссылку приводил в начале топика) присутствуют строки с 6 по 9. Как они влияют на переключение дефолтных маршрутов?

[123459]

MarvinD:
forum.mikrotik.com/viewtopic.php?t=49415
wiki.mikrotik.com/wiki/Manual:Using_scope_and_targ...
wiki.mikrotik.com/wiki/Manual:IP/Route#Nexthop_lookup
hak786.blogspot.com/2013/10/dual-wan-load-balacing...

самый тупой пример:
у аплинка динамический адрес шлюза.
вам хочется сделать правила на конкретный шлюз.
виртуальный хоп позволяет задать статический ip, при этом не сломав доступ к реальному адресу шлюза.

[MarvinD]

123459: Хотя бы понятно стало, что же за магические "виртуальные" адреса используются... This route will be automatically removed when the connection is going down (the connected route is removed). So we can use as a gateway in our static routes and there is no need to change routes any more even if the real gateway is dynamic. Moreover, using this approach we can change ISP without need to change any static routes at all. Никогда не подключал микротик по таким каналам, даже додумать не мог, что можно алиас на получаемый шлюз поставить. За одно только это стоило вопрос задать.

И у меня неправильно записаны правила. С 6 ро 9 как раз виртуальные GW должны стоять, а не реальные GW1 и GW2.

Answer 1

[Александр Романов]

Прочитайте статью внимательно. в итоге мы приходим к двойной рекурсии. Кстати, интересное решение. Получается, что мы мониторим несколько хостов прямыми маршрутами в интернет, через каждый из них делаем маршрут для "виртуального" адреса, который, в свою очередь, является гейтвеем для рекурсивного маршрута по-умолчанию для клиентов. Получается, что маршруты черерез "виртуальные" адреса чекают любое кол-во внешних адресов. И если один из адресов не доступен, а остальные работают -- он будет в апе. Если все адреса сдохли -- значит, провайдер недоступен, деактивируем маршрут. Если Вы поймёте, как это работает, то не запутаетесь. Маршрутов нужно прописать много, да. Но решение интересное )

Полностью не соглашусь с утверждением l0ser140 о том, что фейловер на скриптах лучше. Ничего в нём хорошего нет. Чистая маршрутизация с этим справляется на 200% безо всяких костылей.

Comments

[Александр Романов]

Сейчас собрал это на тестовой железке. Работает, как часы. Класс! До двойной рекурсии, если честно, сам не додумывался ) Спасибо за этот вопрос )

[MarvinD]

Спасибо за ответ и за позитив! Еще мне 123459 накидал выше ссылок, я обратил внимание на то, что неправильно понял значение виртуальных шлюзов - просто не допускал мысли про виртуальные шлюзы :)

[Александр Романов]

MarvinD: если у Вас получилось разобраться, не забывайте отмечать правильные ответы решениями :) Всего доброго!

[MarvinD]

У меня на вечернем тесте не заработало. Как раз сейчас пытаюсь понять, что мешает жить этому белому квадратному существу :)

[Александр Романов]

MarvinD: Прмер, как заработало у меня:

/ip route
add distance=1 gateway=10.1.1.1
add distance=1 dst-address=8.8.4.4/32 gateway=192.168.1.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=192.168.1.1 scope=10
add check-gateway=ping distance=1 dst-address=10.1.1.1/32 gateway=8.8.4.4 scope=10
add check-gateway=ping distance=2 dst-address=10.1.1.1/32 gateway=8.8.8.8 scope=10

[MarvinD]

Александр Романов: А вы routing-mark используете?

У меня сейчас так: если я в prerouting маркирую пакеты с lan-интерфейса как "routing-mark=ISP1", то трафик идет через ISP1, если "routing-mark=ISP2", трафик идет через ISP2.

Если не делать ничего с mangle, вообще никуда ничего не идет.

/ip route print detail where routing-mark="ISP1"
0 A S dst-address=0.0.0.0/0 gateway=10.1.1.1 gateway-status=10.1.1.1 recursive via GW1 ether1 distance=1 scope=30 target-scope=10
routing-mark=ISP1

1 S dst-address=0.0.0.0/0 gateway=10.2.2.2 gateway-status=10.2.2.2 recursive via GW2 ether2 distance=2 scope=30 target-scope=1
routing-mark=ISP1

Тружусь, в общем.

[MarvinD]

poisons: спасибо, с маглами все ясно :)

Answer 2

[Сергей]

Я тоже очень долго парился с настройкой резервирования, у меня получилась вот такая конструкция.

/ip address
add address=<ISP1_IP_ADDRESS> interface=ether1_WAN_MAIN
add address=<ISP2_IP_ADDRESS> interface=ether2_WAN_RESERVE

/interface list
add name=WAN

/interface list member
add interface=ether2_WAN_RESERVE list=WAN
add interface=ether1_WAN_MAIN list=WAN

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1_WAN_MAIN new-connection-mark=Input/ISP1
add action=mark-routing chain=output connection-mark=Input/ISP1 new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=input in-interface=ether2_WAN_RESERVE new-connection-mark=Input/ISP2
add action=mark-routing chain=output connection-mark=Input/ISP2 new-routing-mark=ISP2 passthrough=no
add action=mark-connection chain=prerouting in-interface=ether1_WAN_MAIN new-connection-mark=Forward/ISP1
add action=mark-routing chain=prerouting connection-mark=Forward/ISP1 in-interface=!ether1_WAN_MAIN new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=prerouting in-interface=ether2_WAN_RESERVE new-connection-mark=Forward/ISP2
add action=mark-routing chain=prerouting connection-mark=Forward/ISP2 in-interface=!ether2_WAN_RESERVE new-routing-mark=ISP2 passthrough=no

/ip route
add distance=1 gateway=<ISP1_GATEWAY> routing-mark=ISP1
add distance=1 gateway=<ISP2_GATEWAY> routing-mark=ISP2
add distance=1 dst-address=8.8.4.4/32 gateway=<ISP2_GATEWAY>
add distance=1 dst-address=8.8.8.8/32 gateway=<ISP1_GATEWAY>
add distance=1 dst-address=77.8.8.1/32 gateway=<ISP2_GATEWAY>
add distance=1 dst-address=77.8.8.8/32 gateway=<ISP1_GATEWAY>
add check-gateway=ping distance=10 gateway=8.8.8.8 target-scope=30
add check-gateway=ping distance=20 gateway=8.8.4.4 target-scope=30
add check-gateway=ping distance=10 gateway=77.8.8.8 target-scope=30
add check-gateway=ping distance=20 gateway=77.8.8.1 target-scope=30

/ip route rule
add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2

Проверка по двум хостам на обоих интерфейсах (гугловские и яндексовские DNS).

Но для меня это пол беды, подключение к другому филиалу организовано по L2TP/IPSec, конкретно этот маршрутизатор является клиентом и L2TP/IPSec сессия, которая успешно переключается с ISP1 на ISP2, т.к. сессия рвётся и переподключается по новому маршруту, но когда появляется интернет на ISP1, она не спешит на нём переподняться, т.к. ей и на ISP2 не плохо.

Answer 3

[l0ser140]

По-моему это костыли какие-то.
Единственный плюс в них - нет скрипта, зато в остальном сплошные минусы.
Советую реализовывать при помощи скрипта, можно нагуглить примеры. Будете проверять одни и те же хосты через оба соединения, запускать с желаемой периодичностью, писать в логи о недоступности интернета, не будет этого треша в роутинге и прочие плюшки.

Comments

[MarvinD]

Т.к. failover у меня уже реализован сам по себе, то в данным случае я реально хотел понять, в чем тонкость. Надеюсь, и до скриптов доберусь.

[l0ser140]

poisons: я считаю, что реализация на скрипте лучше хотя бы потому, что можно пинговать одни и те же хосты. Можно реилизовывать более сложные условия, так например я пингую 4 хоста и переключась на резервный канал, если хотя бы 2 из них недоступны (но в то же время доступны через резервный). Можно оценивать качество канала, задавая руками таймауты и размер icmp пакетов, и переключать на резервный канал, когда потеря пакетов превышает какой-то порог. Скрипт можно дёргать так часто, как захотите. Я дёргаю каждые 20 секунд. Можно и каждую секунду запускать с соответствующими доработками. Ну и самое главное, нету никаких виртуальных шлюзов, специальных маршрутов до каких-то определённых хостов (вот вы например хотите пинговать 8.8.8.8, ок, а что если кто-то хочет использовать его как DNS?), нету неявных значений (частота и количество пингов при проверки доступности шлюза), ну и само переключение более явно - меняется дистанция маршрутов, а не отключаются какие-то там виртуальные маршруты, через которые траффик роутится назад.

[MarvinD]

l0ser140: насчет "что если кто-то хочет использовать его как DNS" тоже думал, что может быть казус. Спасибо за дельный, спокойный комментарий!