Configuration multiwan sur un routeur Mikrotik

De $1

Bon ça y est ! J'ai réussi à gérer le WAF pour obtenir 2 connexions Internet et un beau petit routeur qui puisse gérer ce petit monde.

Mon choix s'est porté sur le Mikrotik RB2011UiAS-IN (pour des raisons de tarif essentiellement, mon budget était serré).

 mikrotik.png

 Maintenant, reste à le configurer pour que :

  • Madame puisse profiter des 2 connexions pour surfer à donf !
  • Je puisse profiter de mes 2 IPs publiques pour faire du load balancing pour mes sites web
  • Ne pas être obligé (comme dans certains tutos) de passer par un vps central pour exploiter les 2 connexions.

Et là va falloir mettre les mains dans l'cambouis !

 howto05_small.pngConfigurer 2 connexions Internet en load balancing avec un routeur Mikrotik

  • D'abord le schéma pour que tout le monde comprenne bien :

Reseau_multi_wan.png

 

 installations-logiciels-professionnels-entreprises02_small50.png/ ip address

  •  On configure les 3 pattes ethernet du routeur en nommant chaque interface :
    • LAN : 192.168.0.254
    • ISP1 : 192.168.2.20
    • ISP2 : 192.168.4.20
/ ip address

/ip address add address=192.168.0.254/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN comment="" disabled=no
/ip address add address=192.168.2.20/24 network=192.168.2.0 broadcast=192.168.2.255 interface=ISP1 comment="" disabled=no
/ip address add address=192.168.4.20/24 network=192.168.4.0 broadcast=192.168.4.255 interface=ISP2 comment="" disabled=no

 

 installations-logiciels-professionnels-entreprises02_small50.png/ ip firewall nat

  •  On nate :
    • On crée les 2 règles pour nater les trames vers ISP1 et ISP2
 / ip firewall nat 

/ip firewall nat add action=masquerade chain=srcnat out-interface=ISP1
/ip firewall nat add action=masquerade chain=srcnat out-interface=ISP2

 

 installations-logiciels-professionnels-entreprises02_small50.png/ ip firewall mangle

  • On paramétre le routeur pour que les trames venant d'ISP1 ressortent par la passerelle ISP1 et les trames ISP2 par la passerelle ISP2 :
    • La règle 1 permet de tager les trames provenant de ISP1 avec le tag de connexion "ISP1_conn"
    • La règle 2 fait de même pour les trames provenant de ISP2 avec le tag de connexion "ISP2_conn"
    • La règle 3 crée un tag de routage sur le même principe que la règle 3 (les trames avec le tag de connexion "ISP1_conn" sont tagées "to_ISP1")
    • La règle 4 fait la même chose pour ISP2
    • Les règles 5 & 6 font comme les règles 1 & 2 pour le forward (nécessaire si vous faites du Nat ou redirection de ports)
/ ip firewall mangle

/ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=ISP1_conn passthrough=no
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=ISP2_conn passthrough=no

/ip firewall mangle add action=mark-routing chain=output connection-mark=ISP1_conn new-routing-mark=to_ISP1 passthrough=no
/ip firewall mangle add action=mark-routing chain=output connection-mark=ISP2_conn new-routing-mark=to_ISP2 passthrough=no

/ip firewall mangle add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=ISP1_conn passthrough=no
/ip firewall mangle add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=ISP2_conn passthrough=no

 

 installations-logiciels-professionnels-entreprises02_small50.png/ ip route

  •  Ensuite on route :
    • Les règles 1 & 2 servent à orienter les trames. Les trames avec le tag "to_ISP1" sont envoyées vers la passerelle 192.168.2.254 et les trames avec le tag "to_ISP2" sont envoyées vers la passerelle 192.168.4.254.
    • La règle 3 permet de contrôler si les deux passerelles répondent, il s'agit d'une passerelle ECMP (Equal Cost Multi-Path) typique avec passerelle de contrôle.
    • ECMP : «équilibrage de charge persistant par connexion» ou «équilibrage de charge combiné par-src-dst-adresse».
    • Dès qu'une passerelle n'est plus accessible, la fonction "check-gateway" la retire de la liste des passerelles.
    • Avec cette dernière règle vous obtenez du load balancing associé à un failover.
 / ip route 

/ip route add distance=1 gateway=192.168.2.254 routing-mark=to_ISP1
/ip route add distance=1 gateway=192.168.4.254 routing-mark=to_ISP2
/ip route add check-gateway=ping distance=1 gateway=192.168.2.254,192.168.4.254

 

 installations-logiciels-professionnels-entreprises02_small50.pngLes redirections de ports

 Imaginons maintenant un serveur web avec pour IP : 192.168.1.5 et un serveur de messagerie avec pour IP : 192.168.1.8

 / ip firewall nat  

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ISP1 protocol=tcp to-addresses=192.168.1.5
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ISP2 protocol=tcp to-addresses=192.168.1.5
/ip firewall nat add action=dst-nat chain=dstnat dst-port=25 in-interface=ISP1 protocol=tcp to-addresses=192.168.1.8
/ip firewall nat add action=dst-nat chain=dstnat dst-port=25 in-interface=ISP2 protocol=tcp to-addresses=192.168.1.8

 

 

 installations-logiciels-professionnels-entreprises02_small50.pngLe round robin DNS

  • Maintenant que le routeur est paramétré, madame peut surfer avec les 2 connexions Internet.
  • Reste l'accès depuis l'extérieur à vos serveurs et pour ça, une solution simple, le round robin DNS.
    • Les serveurs DNS envoient toutes les adresses IP aux demandeurs et l'ordinateur fait le reste.
  • Reste donc à paramétrer votre registrar :
    • Vous vous connectez chez votre fournisseur de nom de domaine & vous créez un deuxième enregistrement type A avec la deuxième IP publique.
    • Au pire, renseignez vous auprès de votre fournisseur sur la façon de créer un round robin DNS.
    • Les internautes pourront alors se connecter via l'une ou l'autre des IPs publiques.

 

  • Pour contrôler, un petit nslookup :
franck@PC15011416:~$ nslookup www.yakakliker.org
Server:        127.0.1.1
Address:    127.0.1.1#53


Non-authoritative answer:
Name:    www.yakakliker.org
Address: 88.124.107.68
Name:    www.yakakliker.org
Address: 78.243.189.113
  • Quelques ping si vous n'êtes pas convaincus :
franck@PC15011416:~$ ping www.yakakliker.org
PING www.yakakliker.org (88.124.107.68) 56(84) bytes of data.
64 bytes from sa237-2-88-124-107-68.fbx.proxad.net (88.124.107.68): icmp_seq=1 ttl=52 time=123 ms
64 bytes from sa237-2-88-124-107-68.fbx.proxad.net (88.124.107.68): icmp_seq=2 ttl=52 time=101 ms
64 bytes from sa237-2-88-124-107-68.fbx.proxad.net (88.124.107.68): icmp_seq=3 ttl=52 time=47.8 ms
^C
--- www.yakakliker.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 47.877/90.985/123.101/31.680 ms
franck@PC15011416:~$ ping www.yakakliker.org
PING www.yakakliker.org (78.243.189.113) 56(84) bytes of data.
64 bytes from sa237-1-78-243-189-113.fbx.proxad.net (78.243.189.113): icmp_seq=1 ttl=52 time=249 ms
64 bytes from sa237-1-78-243-189-113.fbx.proxad.net (78.243.189.113): icmp_seq=2 ttl=52 time=48.5 ms
64 bytes from sa237-1-78-243-189-113.fbx.proxad.net (78.243.189.113): icmp_seq=3 ttl=52 time=45.6 ms
^C
--- www.yakakliker.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 45.654/114.694/249.899/95.611 ms

 

  Pi c'est tout, vous appelez les potes et vous vous la péter à l'apéro !

PS : Je laisse à chacun le loisir de paramétrer le firewall (c'est évident), les redirections de ports et autres joyeusetés.

 

 howto05_small.pngConclusion

 Après plusieurs semaines de tests / bricolages / configurations / reinitialisations / re-configuration, j'avoue être particulièrement satisfait de mon investissement.

Miktotik gagne a être connu & testé. Le modèle que j'ai acquis est particulièrement riche en fonctionnalités et vu son prix, il n'a aucune concurrence à ma connaissance.

Son OS est le même du plus cheap au plus performant des modèles de la gamme (pratique pour les confs).

Mais ses défauts viennent de ses qualités, avec le RB2011UiAS-IN, Mikrotik a réussi à proposer un routeur pro au tarif d'un routeur grand public haut de gamme, il a donc fallu faire des compromis.

Nous avons là un routeur comprenant 128 Mb de RAM, un CPU Atheros 600 Mhz, 10 ports ethernet, 1 port Sfp avec des fonctionnalités normalement disponibles sur des routeurs ayant des CPUs beaucoup plus puissants et bien plus de RAM donc plus chers.

Si par malheur, on se laisse porté par l'entousiasme que procure la richesse de ses fonctionnalités, on se retrouve très vite rattrapé par la réalité du Hard en présence avec des performances qui s'effondrent.

A conseiller mais bien analyser ses besoins et bien travailler sa conf avant de choisir son modèle.

 

 

 howto05_small.pngVous en pensez quoi ?


 

 

 

 

Enrichissez Yakakliker en y contribuant vous aussi.

 
Images (2)
Voir 1 - 2 sur 2 images | Voir tout
Le réseau multi wan
Le réseau multi wan
Reseau_mu...  Actions
Mikrotik RB2011UiAS-IN
Mikrotik RB2011UiAS-IN
mikrotik....  Actions
Commentaires (2)
Affichage de 2 commentaires sur 2: voir tout
PS : Problèmes de lenteurs constatés lors de la connexion au site puis temps de réactions normaux ensuite.

Lié à la conf ?? modifié 18:24, 7 Fév 2017
Posté 18:23, 7 Fév 2017
Penser à désactiver la règle :
/IP Firewall Filter
Fasttrack connection
Posté 18:17, 9 Fév 2017
Affichage de 2 commentaires sur 2: voir tout
Vous devez être connecté pour poster un commentaire.