MikroTik dinamikus WAN interfészek kezelése

Innen: IT documentation
A lap korábbi változatát látod, amilyen Moszat (vitalap | szerkesztései) 2022. január 23., 09:15-kor történt szerkesztése után volt. (→‎Összefoglalás)


Összefoglalás

A leírás MikroTik RouterOS 6.48.6 verzión készült.

Előfordulhat, hogy az WAN interfész(ek)en dinamikus IP cím van (és nem is lehet más), de mégis szolgáltatás kell, hogy fusson rajtuk. Amikor a cím(ek) változnak, szükség van az információ automatikus frissítésére egyéb rendszerekben (például DNS rekordok vagy Address list-ek).

A következő Mikrotik RouterOS script ez esetben lehet hasznos.

Funkciók

Időzítés

A script első futtatásakor automatikusan létrehozza az időzített futtatást a MikroTik RouterOS-ben. A $scriptName paraméterben a script nevét kell megadni (amely néven elmentettük), A $defaultInterval paraméterben pedig a futtatás gyakoriságát lehet megadni.

Értesítés

A script képes értesítés küldeni syslog és email -en keresztül. A $logFacility paraméterben a log szintjét állíthatjuk, a $emailFacility paraméterben pedig az email értesítések szintjét. Az email küldés paramétereit az $Email,,, paraméter csoportban állíthatjuk be,

Online ellenőrzés

Tipikusan több WAN interfész esetében szükséges ellenőrizni, hogy az interfész valóban képes e összeköttetést biztosítani az internettel. Ezt pusztán L2 vagy L3 szinten nem elég ellenőrizni, hiszen működő link és helyes IP beállítások mellett is elképzelhető, jellemzően szolgáltató hiba esetén, hogy valójában nincs internetkapcsolat.

A legmegfelelőbb teszt az internet kapcsolat ellenőrzésére, hogy megnézzük, elérünk e az adott interfészen keresztül, egy adott, biztosan elérhető hostot.

A script az ellenőrzést ping-el hajtja végre. Feltételezük, hogy a route fel van készítve a WAN interfészek kiesésére, ezért ezt most nem tárgyaljuk. A script csak az ellenőrzést, értesítést és a kapcsolódó szolgáltatások konfigurálását végzi.

A script policy-based route-okat hoz létre interfészenként WAN0, WAN1 ... WANX néven, amit majd az ellenőrzéskor használ. A $pingSites paraméterben megadott host-okkal ellenőriz. Ha az első host nem elérhető, csak akkor ellenőrzi a másodikat, ha az sem, akkor a harmadikat, stb. Ha az összes host elérhetetlen az interfészen keresztül, akkor minősíti offline-nak az interfészt.

Address list frissítése

Ha a WAN IP-vel dolgozni szeretnénk, pl. tűzfal szabályban, akkor egy "address list"-ben lehet tárolni és frissíteni a dinamikus címet. Az $Int->$addresslist paraméter adja meg az address list nevét, melyben tárolni szerenénk az interfész címét. Dinamikus address list-et hoz létre a $defaultInterval paraméterben megdott lease time-al. Interfézenként megdható több address list, és minden interfészhez ugyanaz az address list is.

DNS rekord frissítése

Lehetőség van egy DNS szerveren egy domain egy vagy több "A" rekordjának frissítésére.

Ha távoli eléréshez használnánk ezt a rekordot, akkor sokkal egyszerűbb a Mikrotik DDNS-ét használni:

/ip cloud set ddns-enabled=yes
/ip cloud print
    ddns-enabled: yes
    ddns-update-interval: none
    update-time: yes
    public-address: x.x.x.x
    public-address-ipv6: X:X:X::X
    dns-name: XXX.sn.mynetname.net
    status: updated

A következő módszer inkább egyéb szolgáltatások rekordfrissítéséhez használható.A rekord frissítéshez szükség van egy kulcsra (authorization key / Transfer Signature key), amelyet a DNS szerver üzemeltetőjétől szerezhetünk be. A kulcs birtokában egy egyszerű paranccsal frissíthetjük a rekordot:

Dinamikus IPsec peer

Az IPsec protokoll két IP cím között hoz létre titkosítást. Eszközök és protokollok képesek dinamikus című IPsec kliensek kezelésére (pl.: L2TP esetén a Mikrotik is), de natívan, illetve tunnel protokollokkal együtt a Mikrotik nem. A következő példában egy GRE/IPsec tunnel-t tesszük dinamikussá.


A két MikroTik eszköz között hozzuk létre a statikus tunnelt:

A beállítás létrehozza az IPsec beállításokat is alap MikroTik beállításokkal.

IP váltáskor a megszokott módon kicseréljük az IP címeket a tunnelben, ami módosítani fogja az IPsec beállításokat is. Viszont a másik MikroTik eszközön is meg kell változtani a beállításokat, hogy az IPsec tunnel felépüljön. Ehhez a már említett MikroTik DDNS-t használjuk. Engedélyezzük ezt mindkét eszközön a fent látható módon. A MikroTik DDNS-e egy perces TTL-el dolgozik. Tehát maximum ennyi szolgáltatás kiesés lehetséges.


A következő scriptet mindkét eszközön egy perces időközönlént futtatva dinamikus lesz a GRE/IPsec csatorna. Értelem szerűen a $temprIP változónál az ellenkező MikroTik DDNS-ét kell megadni.

Ha csak az egyik eszköz rendelkezik dinamikus címmel, a következő scipteket kell futtatni.

A dinamikus címen:

A statikus címen:

A lap eredeti címe: „https://doc.onlinesoft.org/index.php?title=MikroTik_dinamikus_WAN_interfészek_kezelése&oldid=1857