NOVO LOADBALANCE MIKROTIK WIKI PCC 26 de maio de 2017

[Darllan]

NOVO LOADBALANCE MIKROTIK PCC 26 de maio de 2017
V6.38.7 (Bugfix only)

Alguém do fórum mais experiente poderia mudar essas regras de IP FIXO para PPPoE ??? Se conseguir é gênio da porra toda !!!! XD

Início rápido para impaciente
Exportação de configuração do roteador de gateway:

/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=ISP1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=ISP2

/ ip firewall mangle
add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=LAN
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=LAN
add chain=prerouting in-interface=ISP1 connection-mark=no-mark action=mark-connection \
new-connection-mark=ISP1_conn
add chain=prerouting in-interface=ISP2 connection-mark=no-mark action=mark-connection \
new-connection-mark=ISP2_conn
add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \
per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=ISP1_conn
add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \
per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=ISP2_conn
add chain=prerouting connection-mark=ISP1_conn in-interface=LAN action=mark-routing \
new-routing-mark=to_ISP1
add chain=prerouting connection-mark=ISP2_conn in-interface=LAN action=mark-routing \
new-routing-mark=to_ISP2
add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1
add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

/ ip firewall nat
add chain=srcnat out-interface=ISP1 action=masquerade
add chain=srcnat out-interface=ISP2 action=masquerade
__________________________________________________________________
Explanation
Let's assume this configuration:

IP Addresses
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=ISP1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=ISP2

The router has two upstream (ISP) interfaces with the addresses of 10.111.0.2/24 and 10.112.0.2/24. The LAN interface has IP address of 192.168.0.1/24.

Policy routing

/ ip firewall mangle
add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=LAN
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=LAN

Com o roteamento de políticas, é possível forçar todo o tráfego para o gateway específico, mesmo que o tráfego seja destinado ao host (outro que seja o gateway) das redes conectadas. Desta forma, o loop de roteamento será gerado e as comunicações com esses hosts serão impossíveis. Para evitar esta situação, precisamos permitir o uso da tabela de roteamento padrão para tráfego para redes conectadas.


add chain=prerouting in-interface=ISP1 connection-mark=no-mark action=mark-connection \
new-connection-mark=ISP1_conn
add chain=prerouting in-interface=ISP2 connection-mark=no-mark action=mark-connection \
new-connection-mark=ISP2_conn

Primeiro, é necessário administrar a conexão iniciada a partir do exterior - as respostas devem sair via mesma interface (do mesmo IP público). Vamos marcar todas as novas conexões recebidas, para lembrar o que era a interface.


add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \
per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=ISP1_conn
add chain=prerouting in-interface=LAN connection-mark=no-mark dst-address-type=!local \
per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=ISP2_conn

O roteamento de marca de ação pode ser usado apenas na saída da cadeia mangle e no prerouting , mas o prerouting da cadeia mangle é capturar todo o tráfego que está indo para o próprio roteador. Para evitar isso, usaremos dst-address-type =! Local . E com a ajuda do novo PCC dividiremos o tráfego em dois grupos com base em destinatários de origem e de destino.


add chain=prerouting connection-mark=ISP1_conn in-interface=LAN action=mark-routing \
new-routing-mark=to_ISP1
add chain=prerouting connection-mark=ISP2_conn in-interface=LAN action=mark-routing \
new-routing-mark=to_ISP2
add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1
add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2

Então precisamos marcar todos os pacotes dessas conexões com uma marca apropriada. Como o roteamento de políticas é necessário somente para o tráfego que vai para a Internet, não se esqueça de especificar a opção na interface.


/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping

Crie uma rota para cada marca de roteamento


add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

Para habilitar o failover, é necessário ter rotas que irão pisar assim que outros se tornarem inativos na falha do gateway. (E isso só acontecerá se a opção check-gateway estiver ativa)


NAT
/ ip firewall nat
add chain=srcnat out-interface=ISP1 action=masquerade
add chain=srcnat out-interface=ISP2 action=masquerade

Como a decisão de roteamento já é feita, precisamos apenas de regras que irão corrigir os endereços src para todos os pacotes de saída. Se este pacote sair via wlan1, será NATED para 10.112.0.2, se via wlan2, então NATED to 10.111.0.2

[lnredivo]

Amigo,

de forma simplista, nas suas rotas é só substituir onde está o ip do gateway pelo nome do pppoe-client que está conectado ao dsl da operadora.

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

Mudaria para

/ ip route
add dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=to_ISP1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=pppoe-out2 routing-mark=to_ISP2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=pppoe-out3 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=pppoe-out4 distance=2 check-gateway=ping

Mais ou menos isso.

[Darllan]

Novo LoadBalance Manual:PCC IP Fixo

https://wiki.mikrotik.com/index.php?...CC&oldid=29301

Esse balance foi criado para IP Fixo mais como trabalho com PPPoE fiz algumas alterações
me corrija se estiver errado

/ ip address
add address=172.16.0.1/30 network=172.16.0.0 broadcast=172.16.0.3 interface=ether5

/interface pppoe-client
add name=pppoe-out1 user=turbonet@turbonet password=gvt25 interface=ether1
add name=pppoe-out2 user=turbonet@turbonet password=gvt25 interface=ether2

/ ip firewall mangle
add chain=prerouting action=accept in-interface=ether5
add chain=prerouting in-interface=pppoe-out1 connection-mark=no-mark action=mark-connection \
new-connection-mark=ISP1_conn
add chain=prerouting in-interface=pppoe-out2 connection-mark=no-mark action=mark-connection \
new-connection-mark=ISP2_conn
add chain=prerouting in-interface=ether5 connection-mark=no-mark dst-address-type=!local \
per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=ISP1_conn
add chain=prerouting in-interface=ether5 connection-mark=no-mark dst-address-type=!local \
per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=ISP2_conn
add chain=prerouting connection-mark=ISP1_conn in-interface=ether5 action=mark-routing \ new-routing-mark=to_ISP1
add chain=prerouting connection-mark=ISP1_conn in-interface=ether5 action=mark-routing \ new-routing-mark=to_ISP2
add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1
add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2

/ ip route
add dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=to_ISP1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=pppoe-out2 routing-mark=to_ISP2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=pppoe-out1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=pppoe-out2 distance=2 check-gateway=ping

/ ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade

[lnredivo]

Os masquerades estão errados, tem que coloca-los pelos PPPoE-Clients também.

[Darllan]

/ ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade

posso fazer assim támbem

/ ip firewall nat
add chain=srcnat action=masquerade

[lnredivo]

Melhor não,

Segue exemplo:
/ ip firewall nat
add chain=srcnat out-interface=pppoe-out1 action=masquerade
add chain=srcnat out-interface=pppoe-out2 action=masquerade

Veja que estou só exemplificando, confira a sintaxe do nome das suas interfaces.
Outra coisa que vc pode fazer é um interfacelist com os seus PPPoE-clients aí vc pode condensar em uma única regra.

[fsantiago]

Boa tarde, amigo!
Minha duvida é sobre a necessidade de criar rotas estáticas para o trafico de pacotes https. Pois em minha experiencia com balance de link usando o BFW e pfsense, me mostrou indispensável criar tais rotas. Pq, tive muitos problemas principalmente quando acessava sites de bancos ou o cpanel. Em outras palavras, gostaria de saber se seu scrip faz com que o trafico em https que começou pelo link 1 termine com o link 1...Exemplo, caso inicie com link 1 e no meio do acesso passe para o link 2 dessa forma trocando o ip publico faz com que alguns sites apresente problemas.