Pewny dostęp do sieci
Istnieje wiele sposobów zabezpieczenia się przed niespodziewanym brakiem dostępu do internet-u. Jak obserwuję od niedawna najpopularniejszym sposobem jest zaopatrzenie się w dodatkową usługę świadczoną przez operatora GSM. Orange, Play, Blueconnect
Przeciętny Kowalski mając łącze od lokalnego ISP, bądź potentata (gdzie awarie zdarzają się nieco rzadziej) coraz częściej wchodzi w posiadanie niewielkiego modemu USB z zamontowaną kartą SIM. Sieci często dodają usługę internet-u do abonamentu telefonicznego...
Chciałem się tutaj jednak skupić nad sytuacją gdzie grupa hostów (np. biuro) bądź wymajający użytkownik mają mieć dostęp do zasobów. Nieważne co się dzieje i gdzie coś "nawaliło", ma działać i koniec.
Opiszę sytuację z wykorzystaniem dwóch lokalnych operatorów ISP.
Przed zamówieniem, zainstalowaniem usług od któregokolwiek z usługodawców warto jest się zorientować czy nie są ze sobą powiązani w danej warstwie sieciowej. Pomocne będzie tutaj zapytanie każdego z operatorów o "tracerotue" powiedzmy do ONET-u łatwo wtedy będzie stwierdzić gdzie jest punkt wspólny obu operatorów.
Kolejnym aspektem jest zapytanie do jednego, bądź drugiego z operatorów o ewentualne powiązania L2, L3 - dzierżawy, transmisje, kolokacje...
Jeśli już stwierdzimy że obaj ISP nic sobie nie dzierżawią ani nie mają wspólnych punktów styku można przystąpić do instalacji usługi :)
Bezprzewodowo zazwyczaj spotyka się MikroTik-i ze zintegrowanymi antenami, dla tego też opiszę konfigurację z wykorzystaniem:
ISP1:(master) - RouterBoard411+karta miniPCI - Antena BOX - Dowolny Switch SOHO
ISP2:(backup) - RouterBoard711 - Antena BOX - Dowolny Switch SOHO
(Podkreślony przełącznik to to samo urządzenie)
Konfiguracja obu płyt jest taka sama. To znaczy są ustawione jako router z serwerem DHCP i DHCP-Client'em na interfejsie przychodzącym. Zresztą RB711 jest już konfigurowane "fabrycznie"...
Jedyna rzecz na jaką trzeba zwrócić uwagę to by od strony LAN-u konfiguracja była taka sama na obu urządzeniach. To znaczy ten sam zakres przydzielania adresów, ten sam geteway, w przypadku wiązania IP z adresem MAC konfig również musi być identyczny.
Gdzie wiec są różnice ? Dwie drogi domyślne dla komputerów końcowych ? Nic z tego ;]
Zaczynamy zmiany, a właściwie zmianę. Jako że MT to specyficzny Linux na którym dają się uruchomić proste skrypty powstał następujący kod:
dla SIP1(master):
while (5>3) do={ if ([/ping xx.xx.xx.xx count=5] = 0) do={ if ([/ping 213.180.146.27 count=5] = 0) do={ /interface bridge disable 0 } else={ /interface bridge enable 0 } } else={ /interface bridge enable 0 } }
xx.xx.xx.xx - Adres IP urządzenia od SIP2(backup)
dla ISP2(backup)
while (5>3) do={ if ([/ping yy.yy.yy.yy count=5] = 0) do={ if ([/ping 213.180.146.27 count=5] = 0) do={ /interface bridge disable 0 } else={ /interface bridge enable 0 } } else={ /interface bridge disable 0 } }
yy.yy.yy.yy - Adres IP urządzenia od SIP1(master)
Drobne objaśnienie: Interfejs "bridge" w obu urządzeniach to wirtualizacja portu ethernet.
Pozwolę sobie objaśnić skrypt:
Przy uruchomieniu na urządzeniu "master" automatycznie włącza się wirtualny interfejs LAN-u, DHCP-Server zaczyna na nim rozgłaszać adresy, hosty w sieci je pobierają i wszystko zaczyna działać... Natomiast na urządzeniu "backup" owy interfejs się wyłącza uniemożliwiając rozgłaszanie czegokolwiek.
Oba urządzenia pingują się wzajemnie i zarazem "onet" gdy master stwierdzi że nie ma kontaktu z onetem i jednocześnie z backupem wyłącza bridge i przestaje się rozgłaszać w LAN-ie. W tym samym momencie backup traci ping do master-a a ONET dalej odpowiada (o ile to nie awaria globalna). gdy master nie odpowiada na backup-ie załącza się interfejs rozgłaszający adresy w LAN. Tym samym komputery zaczynają odwoływać się do tego samego geteway, ale już na innym urządzeniu które wypycha ruch dalej w świat.