Ahojte
Uz 2 krat sa mi stalo ze na hlavnom outry mi raz odisiel ssd disk a raz flashdisk.
Zacal som patrat ako spravit nasledovnu vec:
Mám pripojenie od ISP do switchu eth1 (VLAN1)
a eth2 (VLAN1)
Vo VLAN dalsich mam ostatne zariadenia ako su servery a lic.spoje
na eth3 (VLAN1) mam volne a chcel by som tam hodit druhy hlavny router
Moja otazka znie
dá sa spraviť to že ak vypadne jeden hlavny router nabehne hned druhy ?
Ako potom osetrit VLAN2 a viac ktoré smeruju na eth4 kde je vystup z masiny ? aby isli na eth5 ?
Dalej nebude sa nejak byt to že su tam rovnake IP (lokalne aj verejne) ?
ako by sa to dalo vyriesiť ?
Za každu radu vopred Ďakujem.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Backup hlavny router
Co takhle na úrovni routingu prostřednictvím dvou default rout s rozdílnou distancí?
A nebo pomocí VRRP:
http://wiki.mikrotik.com/wiki/Manual:VRRP-examples
A nebo pomocí VRRP:
http://wiki.mikrotik.com/wiki/Manual:VRRP-examples
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
To je pekne len to maly hacik
1. IP adresy prvy shaper je clon toho backup
2. Wan je ta ista IP
To nevadi ? Musim mat aj rozdielne IP ?
1. IP adresy prvy shaper je clon toho backup
2. Wan je ta ista IP
To nevadi ? Musim mat aj rozdielne IP ?
0 x
Pokud používáš VRRP, tak se to používá tak, že máš skoro stejné dva servery, kdy jeden je aktivní a když ten chcípne, tak ten druhý převezme jeho IP adresy na sebe. Takže ta jedna WAN IP adresa je zkrátka v jeden okamžik aktivní jen na jednom routeru, to je práce toho VRRP. Řekněme, že ether1 je wan rozhranní a veřejný spojovák 203.0.113.2/30, tak na R1 bude:
/interface vrrp
add interface=ether1 name=vrrp-wan priority=200 vrid=234
/ip address
add address=169.254.134.101/32 interface=ether1
add address=203.0.113.2/30 interface=vrrp-wan
/ip route
add gateway=203.0.113.1
/ip firewall nat
add chain=srcnat dst-address=224.0.0.18
add chain=srcnat out-interface=vrrp-wan src-address=203.0.113.2
A na R2 jsou jinak jen prní dva příkazy:
/interface vrrp
add interface=ether1 name=vrrp-wan priority=100 vrid=234
/ip address
add address=169.254.134.102/32 interface=ether1
/interface vrrp
add interface=ether1 name=vrrp-wan priority=200 vrid=234
/ip address
add address=169.254.134.101/32 interface=ether1
add address=203.0.113.2/30 interface=vrrp-wan
/ip route
add gateway=203.0.113.1
/ip firewall nat
add chain=srcnat dst-address=224.0.0.18
add chain=srcnat out-interface=vrrp-wan src-address=203.0.113.2
A na R2 jsou jinak jen prní dva příkazy:
/interface vrrp
add interface=ether1 name=vrrp-wan priority=100 vrid=234
/ip address
add address=169.254.134.102/32 interface=ether1
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Troska aby sme sa rozumeli, lebo nie celkom mi je to jasne
mám switch tam je ( vlan 1 enable name "VLAN 1" ) (eth1 - eth3)
eth4 - hlavny router
eth5 - backup_router
a potom su zvysne vlany
napr
tieto Vlany smeruju na eth4:
PRVA OTAZKA znie ako spravit aby v pripade vypadku isli na eth5 ??
Ďalej s tou wan adresou je mi to asi v celku jasne ale tak uvediem priklad priamo z mojho servera
WAN IP je eth1 - x.x.18.78/30
LAN ip je takto
eth2 - 10.1.101.1/25
a potom su tam VLANy s ich IP
VLAN11 - 10.1.30.1/29
VlAN12 - 10.1.30.113/29 a pod.. dalsie
teraz ma zaujima budu pasovať brany z inych MK na tento ked druhy MK ten backup by musel mat inu ip ? napr 10.1.101.2/25 ?
Alebo IP necham a doplnim nejaky loopback ip ?
mám switch tam je ( vlan 1 enable name "VLAN 1" ) (eth1 - eth3)
eth4 - hlavny router
eth5 - backup_router
a potom su zvysne vlany
napr
Kód: Vybrat vše
vlan 11 enable name "Vodojem"
vlan 11 port default 1/13
vlan 11 port default 1/14
vlan 12 enable name "Kostol"
vlan 12 port default 1/8
vlan 19 enable name "Sektor_1"
vlan 19 port default 1/9
vlan 20 enable name "Sektor_2"
vlan 20 port default 1/10
vlan 21 enable name "Sektor_3"
vlan 21 port default 1/11
tieto Vlany smeruju na eth4:
! VLAN AGG:
! 802.1Q :
vlan 11 802.1q 1/4 "TAG PORT 1/4 VLAN 11"
vlan 12 802.1q 1/4 "TAG PORT 1/4 VLAN 12"
vlan 19 802.1q 1/4 "TAG PORT 1/4 VLAN 19"
vlan 20 802.1q 1/4 "TAG PORT 1/4 VLAN 20"
vlan 21 802.1q 1/4 "TAG PORT 1/4 VLAN 21"
PRVA OTAZKA znie ako spravit aby v pripade vypadku isli na eth5 ??
Ďalej s tou wan adresou je mi to asi v celku jasne ale tak uvediem priklad priamo z mojho servera
WAN IP je eth1 - x.x.18.78/30
LAN ip je takto
eth2 - 10.1.101.1/25
a potom su tam VLANy s ich IP
VLAN11 - 10.1.30.1/29
VlAN12 - 10.1.30.113/29 a pod.. dalsie
teraz ma zaujima budu pasovať brany z inych MK na tento ked druhy MK ten backup by musel mat inu ip ? napr 10.1.101.2/25 ?
Alebo IP necham a doplnim nejaky loopback ip ?
0 x
Na ten eth5 port switche musíš mít nastaveny VLANy stejně, jak na tom hlavním eth4.
Brány z jiných MK na zálohu můžeš řešit dvěma způsoby:
a) používáš dynamický routing, tak záložní brána má jiné IP a OSPF zařídí, aby to šlo na primární nebo záložní bránu, takže záložní router má na VLANě jinou IP, než primár a OSPF/RIP/... zařídí, že v těch dalších RBčkách to otočí k záloze při zdechnutí primáru,
b) nepoužíváš dynamický routing nebo na dané VLANě nejsou routery, ale koncové počítače/servery, pak na dané VLANě se pustí VRRP, která bude přísloušnou adresu brány v dané VLANě přetahovat stejně, jak na WAN straně a další stroje pak nic netuší a mají staticky routu na bránu.
A pokud to má fungovat spolehlivě pro většinu možných katastrof, tak potřebuješ ještě jednu síťovku do obou těch routerů a propojit je bod-bod přímo mezi sebou a pomocí dynamického routingu zařídit, ať si případně správně přepošlou lokální segmenty a hlavní bránu, pokud by ti nastala situace, kdy při použití víc VRRP rozhranní některé VRRP padnou jako master na jeden router a některé VRRP na ten druhý. Tohle může nastat, když nechcípne celý router jako celek, ale jen nějaký propoj mezi daným routerem a okolím.
Brány z jiných MK na zálohu můžeš řešit dvěma způsoby:
a) používáš dynamický routing, tak záložní brána má jiné IP a OSPF zařídí, aby to šlo na primární nebo záložní bránu, takže záložní router má na VLANě jinou IP, než primár a OSPF/RIP/... zařídí, že v těch dalších RBčkách to otočí k záloze při zdechnutí primáru,
b) nepoužíváš dynamický routing nebo na dané VLANě nejsou routery, ale koncové počítače/servery, pak na dané VLANě se pustí VRRP, která bude přísloušnou adresu brány v dané VLANě přetahovat stejně, jak na WAN straně a další stroje pak nic netuší a mají staticky routu na bránu.
A pokud to má fungovat spolehlivě pro většinu možných katastrof, tak potřebuješ ještě jednu síťovku do obou těch routerů a propojit je bod-bod přímo mezi sebou a pomocí dynamického routingu zařídit, ať si případně správně přepošlou lokální segmenty a hlavní bránu, pokud by ti nastala situace, kdy při použití víc VRRP rozhranní některé VRRP padnou jako master na jeden router a některé VRRP na ten druhý. Tohle může nastat, když nechcípne celý router jako celek, ale jen nějaký propoj mezi daným routerem a okolím.
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Tak to som uz totalne v lese 
WAN IP Su rovnake (mam si vybavit este inu ?)
LAN IP su rovnake
pridam 3. sietovu kartu to by bolo asi najrozumnejsie ?
eth4 a eth5 nemaju vlany su to vystupy s routrov a na eh4 smeruju vlany switcha ale tie musia potom ist aj na eth5 ?
mne staci riesit jedinu katastrofu a to je vypadok routra. Myslim ze ina by ani vzniknut nemala
WAN IP Su rovnake (mam si vybavit este inu ?)
LAN IP su rovnake
pridam 3. sietovu kartu to by bolo asi najrozumnejsie ?
eth4 a eth5 nemaju vlany su to vystupy s routrov a na eh4 smeruju vlany switcha ale tie musia potom ist aj na eth5 ?
mne staci riesit jedinu katastrofu a to je vypadok routra. Myslim ze ina by ani vzniknut nemala
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
V lese bejvá hezky. 
A kolik máš celkem těch veřejek? Jen tu jednu WAN x.x.18.78? Pak ano, možnost je vyrazit z uplinku ještě jednu a na druhý router dát druhou adresu a když ti chcípne primár, tak vše ven pojede přes druhou adresu. Samozřejmě s tím, že pokud jsi zákošům dal nějaké přesměrování portů nebo ti uplink na první IP routuje nějaký blok adres, tak při jízdě přes druhý router to bude nedostupné... Změna IP za chodu trošku rozhodí někdy některé krámy, např VoIP telefony. Ale ušetřiš si tím šaskování s VRRP na WAN straně, což bez té propojovací třetí síťovky by možná bylo i plus.
Nu, když máš do toho routeru na LAN stranu přivedeno X VLAN, tak stejně musíš těch X VLAN přivést i přes LAN port toho záložního routeru.
Provozuješ OSPF? Když vidím ten Kostol a Vodojem, cca před rokem si tu řešil zálohu tras pomocí OSPF? Pokud je to v provozu, tak stačí trošku rozšířit, aby se do OSPF zpaojily ty dva hlavní routery a máš pořešenu i LAN stranu. Pokud teda na eth2 routeru a na ty VLANy na nich na všech jsou dál jen další krabičky v režimu routeru. Pak OSPF to řeší i bez VRRP šaskáren na LAN straně. Jestli-že třeba na těch Sektor_1 až _3 máš rádio jen jako L2 bridge a na tom už visí koncáci, tak na těch sektorech bude vhodné to VRRP a na Vodojem/Kostel OSPF. Aby ti OSPF jelo defaultně tak, že to pojede přes hlavní router, pokud ten router pojede (nebo bude mít spojení na bránu uplinku), tak se tomu nastaví nižší cena pro exportovanou default routu do OSPF, kterou bude exportovat ven jen v případě, že má na dosah uplink bránu (test pingem). A druhý router dělá to stejné, jen se mu cena defualt routy osolí patřičně výše.
V principu R hlavní:
/ip route
add gateway=x.x.18.77 check-gateway=ping
/routing ospf instance
set default distribute-default=if-installed-as-type-1 metric-default=1 router-id=x.x.18.77
R záložní:
/ip route
add gateway=y.y.y.x check-gateway=ping
/routing ospf instance
set default distribute-default=if-installed-as-type-1 metric-default=100 router-id=y.y.y.y
A kolik máš celkem těch veřejek? Jen tu jednu WAN x.x.18.78? Pak ano, možnost je vyrazit z uplinku ještě jednu a na druhý router dát druhou adresu a když ti chcípne primár, tak vše ven pojede přes druhou adresu. Samozřejmě s tím, že pokud jsi zákošům dal nějaké přesměrování portů nebo ti uplink na první IP routuje nějaký blok adres, tak při jízdě přes druhý router to bude nedostupné... Změna IP za chodu trošku rozhodí někdy některé krámy, např VoIP telefony. Ale ušetřiš si tím šaskování s VRRP na WAN straně, což bez té propojovací třetí síťovky by možná bylo i plus.
Nu, když máš do toho routeru na LAN stranu přivedeno X VLAN, tak stejně musíš těch X VLAN přivést i přes LAN port toho záložního routeru.
Provozuješ OSPF? Když vidím ten Kostol a Vodojem, cca před rokem si tu řešil zálohu tras pomocí OSPF? Pokud je to v provozu, tak stačí trošku rozšířit, aby se do OSPF zpaojily ty dva hlavní routery a máš pořešenu i LAN stranu. Pokud teda na eth2 routeru a na ty VLANy na nich na všech jsou dál jen další krabičky v režimu routeru. Pak OSPF to řeší i bez VRRP šaskáren na LAN straně. Jestli-že třeba na těch Sektor_1 až _3 máš rádio jen jako L2 bridge a na tom už visí koncáci, tak na těch sektorech bude vhodné to VRRP a na Vodojem/Kostel OSPF. Aby ti OSPF jelo defaultně tak, že to pojede přes hlavní router, pokud ten router pojede (nebo bude mít spojení na bránu uplinku), tak se tomu nastaví nižší cena pro exportovanou default routu do OSPF, kterou bude exportovat ven jen v případě, že má na dosah uplink bránu (test pingem). A druhý router dělá to stejné, jen se mu cena defualt routy osolí patřičně výše.
V principu R hlavní:
/ip route
add gateway=x.x.18.77 check-gateway=ping
/routing ospf instance
set default distribute-default=if-installed-as-type-1 metric-default=1 router-id=x.x.18.77
R záložní:
/ip route
add gateway=y.y.y.x check-gateway=ping
/routing ospf instance
set default distribute-default=if-installed-as-type-1 metric-default=100 router-id=y.y.y.y
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
No mas pravdu ale to co sme riesieli bolo o 2 hopy dalej Toto je hlavny router
po prve
IP WAN je ta ista x.x.18.78
IP LAN je ta ista (v nej su aj Vlany to iste )
tu mi OSPF nebezi.
Proste potrebujem aby som vedel to spravit ako Master a Backup o nic ine mi nejde
sice WAN mam tuto adresu ale na nu mam pustene moje vlastne verejne IP a tie pouzivam. Darmo mi moj ISP da dalsiu verejnu ked na nu nepojde moja verejna co mam kupene adresne rozsahy
Toto je hlavny router po prve
IP WAN je ta ista x.x.18.78
IP LAN je ta ista (v nej su aj Vlany to iste )
tu mi OSPF nebezi.
Proste potrebujem aby som vedel to spravit ako Master a Backup
o nic ine mi nejde sice WAN mam tuto adresu ale na nu mam pustene moje vlastne verejne IP a tie pouzivam. Darmo mi moj ISP da dalsiu verejnu ked na nu nepojde moja verejna co mam kupene adresne rozsahy
0 x
Nu, pak má smysl na WAN straně přetahovat to IPčko, takže wan (ether1) udlat jak jsme psal výše pomocí toho vrrp, kde na ether dáš nějakou link local adresu/32 a na vrrp-wan tu x.x.18.78/30.
Na LAN straně bbch silně loboval za to, že řešit to pomocí toho OSPF a protáhnout ho přes ty dva hopy až na ty hlavní routery. Pokud v žádném případě nechceš, tak pak musíš udělat nad ether2 a těma vlan11, 12, 19, 20 a 21 nad každým samostanté VRRP rozhranní, které bude přetahovat IP daného segmentu mezi routery. Přitom zde už to dát trošku jinak, třeba nad ether1 dáš vrrp-e1, pak na vrrp-e1 dáš tu IP 10.1.101.1/32 (jo, maska /32) a ne vlasntí ether1 dáš jinou IP z toho segmentu 10.1.101.0/25 s maskou/25. Na ether1 na záložním routeru dáš opět jinou IP z 10.1.101.0/25 s maskou/25. A taa pro všechny VLANy a VRRPky nad nima. Pozor, očekává to, že v těch segmentech jsou všude routery, pokud tam budou koncové počítače, tak ty tohle občas nerozdejchají, zvláštně v kombinaci s nějakým chytrým antivirem/firewallem (protože ROS zase si to VRRP trochu zprznil).
Na LAN straně bbch silně loboval za to, že řešit to pomocí toho OSPF a protáhnout ho přes ty dva hopy až na ty hlavní routery. Pokud v žádném případě nechceš, tak pak musíš udělat nad ether2 a těma vlan11, 12, 19, 20 a 21 nad každým samostanté VRRP rozhranní, které bude přetahovat IP daného segmentu mezi routery. Přitom zde už to dát trošku jinak, třeba nad ether1 dáš vrrp-e1, pak na vrrp-e1 dáš tu IP 10.1.101.1/32 (jo, maska /32) a ne vlasntí ether1 dáš jinou IP z toho segmentu 10.1.101.0/25 s maskou/25. Na ether1 na záložním routeru dáš opět jinou IP z 10.1.101.0/25 s maskou/25. A taa pro všechny VLANy a VRRPky nad nima. Pozor, očekává to, že v těch segmentech jsou všude routery, pokud tam budou koncové počítače, tak ty tohle občas nerozdejchají, zvláštně v kombinaci s nějakým chytrým antivirem/firewallem (protože ROS zase si to VRRP trochu zprznil).
0 x