Добрый день! Есть стойка с серверами, комутатором и RB1100AHx2 в количестве 2х штук, один основной, другой резервный. Микротик смотрит во внешку белым ип и имеет настройки пробросов портов для данных серверов. И есть непреодалимое желание подстраховаться на случай гибели первого. Было бы идеально сделать это в автоматическом режиме, чтобы при гибели первого, сеть переключалась на второй. Или хотябы с минимальными манипуляциями. Подскажите как это реализовать?
Такой вопрос интересует: а от какой именно неисправности маршрутизатора мы себя подстрахуем, при использовании VRRP? Т.е. если железка физически выходит из строя, то явно же это не просто так? И велика вероятность, что у нас это "не просто так" выведет из строя и основной и резервный роутер?
Спасибо за ответы. К сожалению мало знаком с технологией VRRP, по этому была мысль сделать следующим образом: Инет через bypass, два одинаковых маршрутизатора с одинаковыми настройками. Для доступа к резервному чтобы дублировать на него настройки, по отдельному порту у них выделить и соединить настроив отдельную сеть. И еще различие - скрипт на резервном микротике. Принцип работы следующий: Основной погиб - соединился bypass - скрипт на резервном пингующий шлюз провайдера увидел его и поднял локальный интерфейс - тадам, интернет появился. Основной ожил - обрубил bypass - скрипт потерял пинг и выключил локальный интерфейс, все он больше ни при делах. (При условии что я правильно понимаю работу bypass) В таком случае обесточивание/гибель блока питания. Если завис или взломан, "звонок другу" - основной вырубят по питанию. Но это лишнее время. Соответственно вопрос, чем лучше VRRP чем эта схема? Что будет если основной заглючит или зависнет?
По-моему, вы как раз и пытаетесь "вручную" реализовать подобие VRRP. =) первые три ссылки хорошо все разжевывают.. https://yandex.ru/search/?text=vrrp mikrotik настройка&lr=213
Илья, большое спасибо за презентации и полезные советы на форуме. Подскажите по отдельным моментам резервирования. При использовании 2-х ISP и двух 1100 с 2-мя bypass с VRRP, трафик ISP1 идет на 11 порт Master-а, а ISP2 на 13 порт Master-а идет с 12 порта Slave. Получается что весь трафик ISP2 идет через программный bridge на Slave. Что можно предпринять что-бы не загружать CPU Slave? Или можно не заботиться об этом, поскольку Slave-роутер окажется в простое. И еще вопрос, при использовании DHCP сервера в LAN нужно разбить пул пополам или есть еще какие нибудь решения?
Slave в простое. Простой бриджинг ЦПУ ест очень мало. Рекомендую поднимать VRRP на LAN и скриптами переключать WAN-интерфейсы. В DHCP если поле Delay-Treshold. Это задержка ответа сервера. Намек понятен?
1. по DHCP понятно, просто и красиво, спасибо 2. на Slave 11+12 в bridge (без адреса????) 13-off на Master 11+12 в bridge (адрес ISP1) 13- (адрес ISP2) так будет правильно?
Тут вопрос как вы хотите роутить. Можно и как один роутер ISP-1, второй роутер ISP2 и маршруты друг на друга.
второй роутер в горячем резерве, оба ISP на оба 1100 используя bypass порты, а на каждом можно настроить и ActBackup и WLB ведь когда каждый ISP придет на свой роутер - никакого резервирования по железкам не получится
При выключенном питании роутера Slave, MultiWAN на Master-е заработал, теперь пытаюсь обеспечить горячее резервирование. Подскажите как правильнее с помощью bridge организовать у Slave транзит с 11-го порта на 12-ый или точнее, как пропустить трафик ISP2 к Master, полностью изолировав его от Slave. Что нужно использовать, фильтрацию в Firewall или фильтрацию в Bridge?
Как вариант у тебя на Slave бридж без адреса и он пропускает прозрачно На LAN висит VRRP. на VRRP вешается скрипт, который при становлении мастером добавляет адрес на бридж.
я так и сделал, но возникла непонятная мне ситуация - несколько PPTP клиентов отказываются коннектиться к Master через ISP2 получается бридж на Slave не полностью прозрачный (настройки фильтрации у M и S одинаковые) выключаю питание Slave, клиенты цепляются мгновенно добавил на Slave такие фильтры: /ip firewall filter add action=accept chain=forward in-interface=bridge-WAN add action=drop chain=input in-interface=bridge-WAN /interface bridge filter add action=accept chain=forward in-interface=ether11-in out-interface=ether12-out add action=accept chain=forward in-interface=ether12-out out-interface=ether11-in клиенты стали коннектиться (бридж стал прозрачнее) но правильно ли это?
Преклоняю голову..... большое спасибо Илья, направили в правильную сторону. Полезная штука RSTP, а тут совсем не к месту оказался. Два 1100 роутера Master и Slave заработали как задумывалось, с двумя провайдерами и в горячем резерве.
Пара дней тестирования и новый вопрос. Смена ISP или смена режимов Master-Slave приводит к подвисшим соединениям. Описанные разными авторами скрипты не решают проблемы, /ip firewall connection tracking set enabled=no :delay 5 /ip firewall connection tracking set enabled=auto также не помогает. Илья, подскажите, как корректнее сбрасывать эти соединения.
после отключения клиентов PPTP, "gre" не грохаются, хоть тресни "gre" отпадают сами, примерно через 5-6 часов где живет этот интересный timeout? https://forum.windowsfaq.ru/showthread.php?t=182520 https://mikrotik.com/testdocs/ros/2.9/ip/flow.php отключил "pptp" в firewall service-port "gre" стали отпадать в пределах пары минут (generic-timeout=2m)