rdavidf

Bueno primero les cuento que es un recopilación de de varias partes de cómo realizar un balanceo de carga, el tema es que los probé a los dos tipos y cada uno tiene diferentes usos, pero si funcionan, medio complicado para los que recién empezamos pero probando nadie se empacha. Básicamente tenes dos conexiones de internet y quieres sacarle todo el jugo posibleForma separando en grupos el total de la red, de esta forma si se te cae una conexión de internet un grupo de la red se queda sin internet, lo lindo que es fácil de entender y muy aconsejable para empezar a entender que carajo hace el mikrotik. Hacemos de cuenta que tenemos dos ISP esta regla puede ser aplicada a la cantidad de WAN que queramos poner ya que trabaja por listaHagamos de cuenta que usamos para nuestros terminales de trabajo las direcciones de ip de la red 192.168.100.0/24. Las direcciones de IP son asignadas así:• 192.168.100.1-127 Sera usado para Group A• 192.168.100.128-253 Sera usado para Group B• 192.168.100.254 is Usado por el router.Todos los terminales de trabajo tienen la configuración IP con la dirección de IP del grupo relevante, ellos todos tienen la red submascara 255.255.255.0, y 192.168.100.254 es la puerta de enlace.Ahora, cuando tenemos terminales de trabajo divididos en grupos, podemos referirnos a ellos usando la dirección subnet:• Group A es 192.168.100.0/25, p. ej., se dirige 192.168.100.0-127• Group B es 192.168.100.128/25, p. ej., se dirige 192.168.100.128-255¡Si usted no entiende esto, toma el curso de Básico TCP/IP, o, busque algunos recursos sobre subredes sobre el Internet!Tenemos que añadir dos reglas de IP Firewall Mangle de marcar los paquetes originados por el Group A y para el Group BPara el Group A, especificar:• Chain prerouting y Src. Address 192.168.100.0/25• Action mark routing y New Routing Mark GroupA. Esto es una práctica buena para añadir un comentario también. Sus reglas de firewall podrían ser interesantes para alguien más y para usted también pasado algún tiempo.Para el Group B especificar• Chain prerouting y Src. Address 192.168.100.128/25• Action mark routing y New Routing Mark GroupB Todo el tráfico IP que viene de terminales de trabajo es routing marks marcar GroupA o GroupB. Podemos usar estas mark en el routing table.Después, nosotros deberíamos especificar dos rutas por defecto (la destinación 0.0.0.0/0) routing marks y gateways apropiados ¡Esto no va a funcionar, a no ser que usted haga masquerading en LAN! El modo más simple de hacerlo es añadiendo una regla de NAT para Src. 192.168.100.0/24 y Action masquerade: ¡Pruebe el sistema haciendo un tracer a alguna dirección de IP sobre el Internet!De un terminal de trabajo de Grupo A, esto debería ir como esto:C:>tracert -d 8.8.8.8Tracing route to 8.8.8.8 over a maximum of 30 hops 1 2 ms 2 ms 2 ms 192.168.100.254 2 10 ms 4 ms 3 ms 10.1.0.1De un terminal de trabajo de B de Grupo, esto debería ir como esto:C:>tracert -d 8.8.8.8Tracing route to 8.8.8.8 over a maximum of 30 hops 1 2 ms 2 ms 2 ms 192.168.100.254 2 10 ms 4 ms 3 ms 10.5.8.1 ...--------------------------------------------------------------------------------------------------------------------Bueno la segunda forma se suman las conexiones y para un misma pc podemos tener dos puertas de enlace, esta es mas compleja de entender pero también funciona, lo malo es que si se te cae una te caga la otra, supuesta mente no lo hace en la teoría, pero en la practica es otra cosa. Lo pongo por que es la suma esta realmente acelera las cosas. Con NAT y politicas de ruteos, trabaja con HTTPS, IM (mensajeros instantáneos) y grandes descargas Considerar el siguiente diagrama de red Configuración exportada del router: / ip address add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local comment="" disabled=no add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan2 comment="" disabled=no add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan1 comment="" disabled=no/ ip firewall mangleadd chain=prerouting in-interface=Local connection-state=new nth=1,1,0 action=mark-connection new-connection-mark=odd passthrough=yes comment="" disabled=no add chain=prerouting in-interface=Local connection-mark=odd action=mark-routing new-routing-mark=odd passthrough=no comment="" disabled=no add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 action=mark-connection new-connection-mark=even passthrough=yes comment="" disabled=no add chain=prerouting in-interface=Local connection-mark=even action=mark-routing new-routing-mark=even passthrough=no comment="" disabled=no / ip firewall nat add chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 to-ports=0-65535 comment="" disabled=no add chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 to-ports=0-65535 comment="" disabled=no / ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-mark=odd comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-mark=even comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment="" disabled=noExplicaciónPrimero mostramos el código y luego explicamos que es lo que hace. Mangle/ ip address add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local comment="" disabled=no add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan2 comment="" disabled=no add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan1 comment="" disabled=noEl router tiene los interfaces de subidas (wan) con la dirección IP 10.111.0.2/24 y 10.112.0.2/24. La interface LAN tiene el nombre "Local" y la dirección ip 192.168.0.1/24. / ip firewall mangleadd chain=prerouting in-interface=Local connection-state=new nth=1,1,0 action=mark-connection new-connection-mark=odd passthrough=yes comment="" disabled=no Primero tomamos cada segundo paquete que establece una nueva sesión (nota connection-state=new) y marcamos con marca coneccion "impar". Consecuentemente todos los sucesivos paquetes siguientes de la misma sesión llevarán la marca conección "impar". Notar que estamos pasando esos paquetes a la segunda regla (passtrough=yes) par poner la marca de routeo en esos paquetes adicionando a la marca conección. add chain=prerouting in-interface=Local connection-mark=odd action=mark-routing new-routing-mark=odd passthrough=no comment="" disabled=no La regla anterior pone la marca de routing "impar" en todos los paquetes pertenecientes a la conección "impar" y para de procesar todos los otros mangles en la cadena prerouting para esos paquetes. add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 action=mark-connection new-connection-mark=even passthrough=yes comment="" disabled=no add chain=prerouting in-interface=Local connection-mark=even action=mark-routing new-routing-mark=even passthrough=no comment="" disabled=no Esas reglas son las mismas para la mitad restante del tráfico como las primeras dos reglas para la primer mitad del tráfico. El código anterior hace que cada nueva conección que se inicia a travéz del router desde la red local será marcado como "impar" o "par" con ambas marcas de routing y conección. NAT/ ip firewall nat add chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 to-ports=0-65535 comment="" disabled=no add chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 to-ports=0-65535 comment="" disabled=no Routing/ ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-mark=odd comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-mark=even comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment="" disabled=no comment="gateway for the router itself"Para todo el tráfico marcado "impar" (consecuentemente teniendo 10.111.1.0.2 como dirección origen traducida) usamos 10.111.0.1 como gateway. De la misma manera todo el tráfico marcado "par" es ruteada por el gateway 10.112.0.1. Finalmente, tenemos una entrada adicional especificando el trafico del router mismo (tráfico sin marcas de routing) deberían ir por el gateway 10.112.0.1. Bueno a probar que es la única forma de saber si funca.Si tengo comentarios sigo suviendo cosas que encontré en la red sobre mikrotik y hay medio pocas cosas , pidan nomas y veo que les puedo ayudar.

Buenas, Primero que nada tenemos que saber que es ASN (número de sistema autónomo) : Un Sistema Autónomo es un grupo de redes basadas en IPv4 y IPv6 que poseen una política de rutas propias e independientes. Internet está constituido por una gran cantidad de Sistemas Autónomos, o también denominados AS (Autonomous System), por ejemplo, cada operador ISP tiene un AS diferente el cual está perfectamente identificado por su número de Sistema Autónomo. Los gigantes de Internet también tienen un número de Sistema Autónomo, ¿cómo sabemos qué número de Sistema Autónomo utiliza Google o Microsoft? Simplemente debemos preguntarle a RIPE, la organización que se encarga de gestionar el direccionamiento IP. Para mas info: http://www.sectorx.com.ar/?p=6229 de donde extraje. Entonces cada Grande tiene uno o varios números asignados, Ejemplo: Facebook: AS54115 , AS32934 Twitter: AS13414 , AS35995 Microsoft: AS8075 También podemos averiguar del que nos interese de dos maneras, una es preguntado en la pagina de http://mxtoolbox.com/asn.aspx ponemos en nombre y nos tira los asn. La otra es teniendo una ip y preguntar por medio del consulta de "WHOIS" a que ASN pertenece, esto se hace desde una consola terminal de linux: whois -h whois.radb.net -- '-i origin 206.190.36.45' con este comando le preguntamos a whois a quien pretence esta ip y nos muestra que pertenece a yahoo y que el ASN es AS5779. Ahora ya tenemos el número de ASN con este número podemos pedir la lista de ip que tienen disponibles. también tenemos dos formas una es por medio de terminal de linux y pedimos las lista de ip por ejemplo la de yahoo: whois -h whois.radb.net -- '-i origin AS5779' | grep ^route: y nos devuelve route: 63.250.192.0/19 route: 69.147.69.0/24 route: 69.147.70.0/23 route: 67.195.252.0/22 route: 63.250.192.0/19 route: 206.190.32.0/19 route: 170.118.0.0/16 route: 206.190.57.0/24 route: 206.190.58.0/23 route: 206.190.60.0/22 route: 206.190.49.0/24 route: 205.172.212.0/22 route: 205.172.212.0/22 route: 205.172.213.0/24 route: 205.172.214.0/24 route: 205.172.215.0/24 route: 206.190.32.0/19 route: 63.250.192.0/19 route: 63.250.192.0/20 route: 63.250.208.0/20 route: 206.190.48.0/20 Esta es la lista de ip a la fecha que tiene asignado yahoo entonces podemos hacer a mano por ejemplo una listado de ip en mikrotik /ip firewall address-list add list=yahoo comment="24-8-16" address=206.190.48.0/20 .... y luego decidimos qué hacer con esta lista, ejemplo bloquear: /ip firewall filter add action=drop chain=forward comment="blokear yahoo" dst-address-list=yahoo O si no podría ser redirigir a otro pagina o al proxy interno del mikrotik y mostrar un cartel de pagina blokeada por ejemplo. También encontré otra pagina que hace este trabajo y no devuelve el código listo para pegar en mikrotik https://www.dan.me.uk/filtergen donde seleccionamos para mikrotik y ponemos el ASN y no genera el filtrado completo, para mi gusto le falta es que genere una lista y no la regla de filtrado, pero es mucho más cómodo. Pruebas realizadas me han dado un excelente resultado en cuanto al blokeo y no consume casi nada de recursos así que puede ser implementado tranquilamente. Es importante aclarar que si deseamos usar esta regla para definir calidad de servicio (QoS) o asignarle un ancho de banda a facebook se debería hacerse con reglas de mangle pero hay un problema dentro de las páginas como por ejemplo facebook, esta web tiene almacenado todo el código dentro de sus propias IP pertenecientes al ASN de facebook Inc. pero el material multimedia lo tiene almacenado dentro de la empresa AKAMAI que se encarga de guardar las fotos y videos. Entonces deberíamos marcar los paquetes para AKAMAI con su propios ASN, el tema es que varía en cada país y depende de varias otras empresas lo cual se vuelve muy engorroso llegar marcar correctamente. Hay otra solución para este tema pero lo sigo en otro post. Saludos.

El tema es que tengo dos conexiones, una ADSL de 6Mb(conexion principal) y una satelital de 256k(de respaldo, que por cierto es muy inestable y no da usarla) para una empresa, el tema es que no queiro sumar las conexiones sino que cuando falle la ADSL se active solo para ciertas maquinas la conexion de respaldo que seria la satelital, de ser posible las que no tienen internet le salga el cartel que se trata de una falla de la conexion principal (la ADSL). cualqueir sugerencia me viene bien. gracias. Mi solucion: primero un esquemita (se nota que soy nuevo en esto) entonces primero definimos los gateways /ip route add comment="salida principal" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.4.1 routing-mark=principal scope=30 target-scope=10 add comment="salida respaldo" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.4.2 routing-mark=respaldo scope=30 target-scope=10 add comment="salida del mikrotik" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.4.1 scope=30 target-scope=10 despues marco las rutas /ip firewall mangle add action=mark-routing chain=prerouting comment="marca salida" disabled=no new-routing-mark=principal passthrough=yes src-address=192.168.1.0/24 ups! me olvide en el esquema de poner que las pcs detras de mikrotik estan en la red 192.168.1.0/24 bue sigamos /tool netwatch add comment="test a google" disabled=no down-script= ":log info ("Falla que lo pario no hay google.")r n/tool netwatch set [find comment="test a yahoo"] disabled=nor n/tool netwatch set [find comment="test a google"] disabled=yes" host=8.8.8.8 interval=1m timeout=2s up-script= ":log info ("David: hay internet. via gateway principal - prueba a google")" add comment="test a antena tecnobus" disabled=yes down-script=":log info ("Falla prueba antena tecnobus - revisar alimentacion de antena, etc.")r n:delay 50sr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a antena A"] disabled=yes" host=192.168.4.5 interval=1m timeout=2s up-script=":log info ("prueba EXITOSA antena tecnobus")r n/tool netwatch set [find comment="test a antena B"] disabled=nor n/tool netwatch set [find comment="test a antena A"] disabled=yes" add comment="test a antena salnet" disabled=yes down-script=":log info ("Falla prueba antena A - llamar a David, etc.")r n:delay 50sr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a antena B"] disabled=yes" host=192.168.4.6 interval=1m timeout=2s up-script=":log info ("prueba EXITOSA antena B")r n/tool netwatch set [find comment="test a gateway principal"] disabled=nor n/tool netwatch set [find comment="test a antena B"] disabled=yes" add comment="test a CNRT" disabled=yes down-script= ":log info ("Falla prueba CNRT.")r n/tool netwatch set [find comment="test a antena tecnobus"] disabled=nor n/tool netwatch set [find comment="test a CNRT"] disabled=yes" host=190.210.105.205 interval=1m timeout=2s up-script=":log info ("hay internet. - prueba a cnrt")r n:delay 50sr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a CNRT"] disabled=yes" add comment="test a gateway principal" disabled=yes down-script=":log info ("prueba FALLIDA wateway principal - intentando conexion respaldo")r n/tool netwatch set [find comment="test a gateway respaldo"] disabled=nor n/tool netwatch set [find comment="test a gateway principal"] disabled=yes" host=192.168.4.1 interval=1m timeout=2s up-script=":log info ("prueba EXITOSA wateway principal")r n/tool netwatch set [find comment="test a gateway respaldo"] disabled=nor n/tool netwatch set [find comment="test a gateway principal"] disabled=yes" add comment="test a gateway respaldo" disabled=yes down-script=":log info ("Falla prueba wateway respaldo - llamar a david, etc.")r n:delay 50sr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a gateway respaldo"] disabled=yes" host=192.168.4.2 interval=1m timeout=2s up-script=":log info ("prueba EXITOSA wategay respaldo")r n/ip route set [find comment="salida del mikrotik"] gateway=192.168.4.2r nr n/tool netwatch set [find comment="test a prueba internet WR"] disabled=nor n/tool netwatch set [find comment="test a gateway respaldo"] disabled=yes" add comment="test a prueba internet WR" disabled=yes down-script=":log info ("Falla prueba google por wategay de respaldo.")r n:delay=50sr n/ip route set [find comment="salida del mikrotik"] gateway=192.168.4.1r nr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a prueba internet WR"] disabled=yes" host=8.8.4.4 interval=1m timeout=2s up-script=":log info ("hay internet con wateway respaldo - prueba a g oogle")r n/ip firewall mangle set [find comment="marca salida"] new-routing-mark=respaldor n/ip route set [find comment="salida del mikrotik"] gateway=192.168.4.1r nr n/tool netwatch set [find comment="test a google por principal"] disabled=nor n/tool netwatch set [find comment="test a prueba internet WR"] disabled=yes" add comment="test a google por principal" disabled=yes down-script=":log info ("David: sin conexion por principal, conecado via respaldo.")r n" host=8.8.8.8 interval=1m timeout=2s up-script=":log info ("hay internet con wateway principal - prueba a google")r n/ip firewall mangle set [find comment="marca salida"] new-routing-mark=principalr nr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a google por principal"] disabled=yes" add comment="test a yahoo" disabled=yes down-script= ":log info ("Falla prueba a yahoo.")r n/tool netwatch set [find comment="test a CNRT"] disabled=nor n/tool netwatch set [find comment="test a yahoo"] disabled=yes" host=98.139.102.145 interval=1m timeout=2s up-script=":log info ("hay internet. - prueba a yahoo")r n:delay 50sr n/tool netwatch set [find comment="test a google"] disabled=nor n/tool netwatch set [find comment="test a yahoo"] disabled=yes" add comment="mantener enlace secundario" disabled=no down-script="" host=192.168.4.2 interval=1m timeout=1s up-script="" add comment="mantener enlace primario" disabled=no down-script="" host=192.168.4.1 interval=1m timeout=1s up-script="" bueno medio complicado de segir pero el tema es que primero me fijo si hay internet haciendo segimiento a google cuando falla desactivo esa prueba y paso a yahoo si falla paso a la pagina de la CNRT (por pedido de mi cliente) si falla me fijo en las antenas y los gateways y si anda el wateway de respado le cambio la marca de ruta para la red de las pcs, al ultimo se queda probando cuado vuelve internet cambio la ruta y queda con el primer test como chiche le active el webproxy transparente para el pool de pc que estan en el DHCP entonces cuando se queda sin internet el mikrotik y por lo tanto tambien esas maquinas, entonces los de "producion" los deje con ip fija y siempre tinen internet. gracias por las respuestas pero de pedo vi esta pagina que es de donde saque la inspiracion http://wiki.mikrotik.com/wiki/Failover_con_Netwatch_III cualqueir mejora que se les ocura escucho Ha por cierto esta bien probada y funca de 10