Не могу настроить резервирование инета в Mikrotik, в чем проблема?

Question

[Олег]

Проблема, видимо, очень простая, но не могу разобраться.
Настраиваю автоматическое переключение каналов на MKikrotik. 2 интерфейса от 2 провайдеров у обоих статический белый IP, ether2 - основной, ether1 - резервный, с двумя маршрутами по умолчанию, с разной дистанцией:
Ether2 дистанция -2
Ether1 Дистанция -3.
Проверяю доступность инета пингом гугла и яндекса.
И здесь странный результат:
Пингую через ether1, с маршрутом по умолчанию eher2 - пингуется.
Меняю дистанцию у маршрута Ether1 на 1 (он становится основным)
Пингую через ether2 - не пингуется.
Почему?

Comments

[Wexter]

Пингую через ether1, с маршрутом по умолчанию eher2 - пингуется.
Меняю дистанцию у маршрута Ether1 на 1 (он становится основным)
Пингую через ether2 - не пингуется.

ШтаааааааааА? Что за дичь я прочитал? Можно понятным и адекватным языком?

[Олег]

В поддержке наверно не работали ))

/ip address
add address=4.5.1.14/30 interface=ether1 network=4.5.1.12
add address=8.2.2.38/30 interface=ether2 network=8.2.2.36
/ip route
add distance=3 gateway=4.5.1.13
add distance=2 gateway=8.2.2.37

ping 8.8.8.8 interface=ether1 (Пингуется.)

/ip route
add distance=1 gateway=4.5.1.13
add distance=2 gateway=8.2.2.37

ping 8.8.8.8 interface=ether2 (НЕ Пингуется.)

[athacker]

address=4.5.1.1/30 interface=ether1 network=4.5.1.12

Это как? :-) В сети 4.5.1.0/30 всего 4 адреса. И 4.5.1.12 туда точно не входит. Такая же история про ether2 -- то, что у вас указано как network, не попдает в подсеть на интерфейсе.

[Wexter]

Олег, зачем вы указываете интерфейс?
Некоторые провайдеры режут трафик не из подсети выданной вам, т.е трафик идущий от вас с IP провайдера 1 может резаться провайдером 2 и наоборот

[Олег]

athacker,
Адреса ненастоящие, ошибся когда маскировал.
Правильно будет add address=4.5.1.14/30 interface=ether1 network=4.5.1.12

[Олег]

Wexter,

зачем вы указываете интерфейс?

Провайдер ether2 упал, поменял маршрут по умолчанию на ether1
Теперь нужно мониторить, когда ether2 поднимется - пингуем гугл через ether2

Некоторые провайдеры режут трафик не из подсети выданной вам, т.е трафик идущий от вас с IP провайдера 1 может резаться провайдером 2 и наоборот

Ммм, вот здесь не понял. Я ж пингую сразу в интерфейс провайдера 2, как провайдер 1 будет резать?

[Wexter]

Олег, так работать не будет.
Добавляйте статические маршруты через провайдера 1 и провайдера 2 к нужному адресу, можно даже в разные таблицы маршрутизации. При пинге указывайте таблицу

/ip route add dst-address=8.8.8.8 gateway=ISP1_GW routing-table=ISP1
/ip route add dst-address=8.8.8.8 gateway=ISP2_GW routing-table=ISP2
ping 8.8.8.8 src-address=ISP1_ADDR routing-table=ISP1
ping 8.8.8.8 src-address=ISP2_ADDR routing-table=ISP2

[Олег]

Wexter,

так работать не будет.

Можете объяснить почему? Спрашиваю, потому-что при основном маршруте через ether2 пингуется через ether1.

/ip address
add address=4.5.1.14/30 interface=ether1 network=4.5.1.12
add address=8.2.2.38/30 interface=ether2 network=8.2.2.36
/ip route
add distance=3 gateway=4.5.1.13
add distance=2 gateway=8.2.2.37

ping 8.8.8.8 interface=ether1 (Пингуется.)

[Wexter]

Олег, поле interface учитывается только для IPv6 и link-local адресов, для IPv4 оно игнорируется и никак не влияет. Трафик пойдёт по дефолтному маршруту

[Олег]

Хмм, почему тогда в первом случае пинг идет по дефолтному маршруту и пингуется, а во тором идет по дефолтному и не пингуется.
Все эксперименты проводятся, когда оба провайдера работают.

[Wexter]

Олег, а без интерфейса через оба пингуется?

[Олег]

Wexter Да, без интерфейса пингуется через оба. Ну, то есть пингуется через тот, который в этот момент активный.

[Олег]

Wexter,

/ip route add dst-address=8.8.8.8 gateway=ISP1_GW routing-table=ISP1

не работает, ругается на routing-table

[Wexter]

Олег, ошибся, routing-mark

Answer 1

[Александр Карабанов]

https://www.youtube.com/watch?v=Gwl-0bRxOY4

Answer 2

[Stnlss]

Из самого очевидного:
1. Выбрать 2 ip в инете, которые будут пинговаться для определения доступности, для каждого канала по одному адресу.
2. Прописать статические маршруты до каждого из выбранных ip, через соответствующего провайдера. Т.е. адреса должны пинговаться без прописанного шлюза по умолчанию (default) причём каждый из них через свой канал провайдера.
3. Далее, задача сводится к установке default gw на основной или резервный канал, в зависимости от результатов пингов. Причём, для корректной работы nat, желательно при переключении канала зачищать уже открытые соединения nat.

Answer 3

[Gregory]

конфиг покажите

Comments

[Олег]

Конфиг (внешние IP поменял)

# nov/20/2019 15:39:47 by RouterOS 6.45.1
#
# model = RB1100x4
# serial number =
/interface bridge
add name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] auto-negotiation=no speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add comment=defconf name=LAN
add name=WANM
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=group1
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/routing bgp instance
set default as=65123 disabled=yes ignore-as-path-len=yes
/interface bridge port
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=ether9
add bridge=bridge interface=ether10
add bridge=bridge interface=ether11
add bridge=bridge interface=ether12
add bridge=bridge interface=ether13
#error exporting /interface detect-internet
/interface list member
add interface=bridge list=LAN
add interface=ether2 list=WANM
add interface=ether1 list=WANM
/ip address
add address=4.2.6.14/30 interface=ether1 network=4.5.6.12
add address=192.168.7.100/24 interface=ether3 network=192.168.7.0
add address=8.2.2.38/30 interface=ether2 network=8.2.2.36
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m update-time=no
#error exporting /ip dns
#error exporting /ip dns static
/ip firewall address-list
add address=8.2.2.38 list=ag
add address=8.2.2.50 list=ag
add address=3.2.1.210 list=ag
add address=4.5.1.59 list=ag
add address=4.5.1.58 list=ag
add address=3.2.1.200 list=ag
add address=4.5.1.14 list=ag
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow L2TP VPN (ipsec-esp)" \
in-interface-list=WANM protocol=ipsec-esp
add action=accept chain=input comment="allow L2TP VPN (500,4500,1701/udp)" \
dst-port=500,1701,4500 in-interface-list=WANM protocol=udp
add action=accept chain=input comment="Allow incoming OpenVPN" dst-port=1194 \
in-interface-list=WANM protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Accept all comming from trusted" \
in-interface-list=WANM src-address-list=ag
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WANM
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WANM
/ip route
add distance=2 gateway=8.2.2.37
add distance=3 gateway=4.5.1.13
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
/system identity
set name=SV-R
/system logging
set 0 disabled=yes
add prefix=ppp topics=ppp,pptp,l2tp,ipsec,info
add prefix="s>>> " topics=script
add action=echo disabled=yes prefix=s topics=ddns
/system ntp client
set enabled=yes server-dns-names=ru.pool.ntp.org

[Руслан Хайруллин]

/ip address
add address=4.2.6.14/30 interface=ether1 network=4.5.6.12
add address=8.2.2.38/30 interface=ether2 network=8.2.2.36
/ip route
add distance=2 gateway=8.2.2.37
add distance=3 gateway=4.5.1.13

У вас через ether1 не найдет шлюз 4.5.1.13, потому что при маске /30 он увидит только адреса 4.2.6.12-15.
По идее у вас даже маршрут должен быть не активен. Поэтому пинги даже не выходят. Запустите трассировку посмотрите на каком шаге он пропадает

Answer 4

[KPOBABAK]

Не надо настраивать через метрику. (Сам на этом обломался.)
Если падает основной канал у прова, но его шлюз доступен, то ничего у вас работать не будет.
То что вам нужно, можно сделать через NetWatch скриптами типа таких. (Т.е отключать и включать нужные роуты.)
/ip route set [find comment="ISP2"] disabled=no
/ip route set [find comment="ISP1"] disabled=yes
предварительно пометив роуты. Поищи подробно в интернете.

Comments

[Ruslan-Strannik]

достаточно отключать/включать основной маршрут.
но это те же самые грабли. если нетвач наблюдает за узлом 8888 к примеру, и если он недоступен, то отключает маршрут ISP1 (я делал изменение дистанции на 100 потому что так правильнее). при этом узел этот жестко привязывают к за определенным шлюзом.
рекурсия работает точно так же.

падает основной канал у прова, но его шлюз доступен,

поэтому настраивают рекурсию и все будет работать.

PS
но в своем прошлом комментарии я сделал ошибку.
теперь поправил