Balanceador Mirotik RB750 – 4 Wan Adsl
Nivel: Intermedio-Avanzado
Sin mas que el export de cada uno de los pasos, configurados para su copy paste, solo digo que debes conocer un Mikrotik-RouterBoard, un poco mas a fondo para que puedas revisar esta configuración y ajustarla a tus necesidades aunque no es del otro mundo espero les sirva a alguien ya que la información libre no tiene precio.
Recomiendo usar un editor de texto copiar, revisar y proceder a correrlo en el router.
Primero le damos un nombre al equipo, para saber a quien manejamos.
/system identity
set name=BALANCEADOR
Un rango de ip que vamos a manejar, para nuestros equipos clientes, debemos recordar que es solo un balanceador, por lo que solo le aconsejo usar pocos equipos ya que no queremos cargar mucho el router, yo aconsejo no conectar mas de 2 equipos clientes, por lo que al pool le daré opciones de 4 equipos.
/ip pool
add name=dhcp_pool1 ranges=192.168.44.250-192.168.44.254
El servidor de dhcp lo configurare de modo basico para no enrrollarles la vida, una gateway 192.168.44.1 con una mascara 24 y listo.
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=after-2sec-delay bootp-support=static disabled=no interface=LAN lease-time=3d name=dhcp1
Agregamos la direccion del balanceador, como dije el gateway anteriormente, pues ese usaremos.
/ip address
add address=192.168.44.1/24 broadcast=192.168.44.255 comment=»» disabled=no interface=LAN network=192.168.44.0
uso ip dhcp client, porque mi proveedor entrega ip dinámicas y cambian cada cierto tiempo, puede ser unas horas o hasta meses que pueda usar una ip, no es seguro por lo que dejo que el equipo las tome de manera automática. Mas adelante veras que diferencia hay.
/ip dhcp-client
add add-default-route=yes comment=»» default-route-distance=0 disabled=no interface=WAN1 use-peer-dns=yes use-peer-ntp=yes
add add-default-route=yes comment=»» default-route-distance=2 disabled=no interface=WAN2 use-peer-dns=yes use-peer-ntp=yes
add add-default-route=yes comment=»» default-route-distance=3 disabled=no interface=WAN3 use-peer-dns=yes use-peer-ntp=yes
add add-default-route=yes comment=»» default-route-distance=4 disabled=no interface=WAN4 use-peer-dns=yes use-peer-ntp=yes
Agregamos los dns, ya que he probado que los dns de mi proveedor son buenos dejo esos 200.44.32.12 y 200.11.248.12, pero si los de ustedes no lo son bastante buenos o poseen varios proveedores, entonces pueden usar OpenDNS o los dns de google, solo recomiendo que usen unos con el ping mas bajo. Recuerden revisar sus dns para que las peticiones sean lo mas rápido posible.
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB max-udp-packet-size=512 primary-dns=200.44.32.12 secondary-dns=200.11.248.12
/ip dns static
add address=192.168.44.1 disabled=no name=dns ttl=1d
Agregamos las reglas de nuestro cortafuego, solo las básicas para prevenir un ataque a nuestro equipo y no mas de la cuenta para no cargar el CPU, al fin no es un firewall si no un balanceador lo que armamos.
/ip firewall filter
add action=drop chain=input comment=»Proteccion contra ataques via SSH» disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment=»» connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment=»» connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment=»» connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment=»» connection-state=new disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment=»Denegar conexiones invalidas» connection-state=invalid disabled=no
add action=drop chain=forward comment=»» connection-state=invalid disabled=no
Creamos las mangles o reglas para el control del balanceo, aquí esta en si la función de control del balanceo o la repartición de la salida.
/ip firewall mangle
add action=mark-connection chain=input comment=»» disabled=no in-interface=WAN1 new-connection-mark=conex_WAN1 passthrough=yes
add action=mark-connection chain=input comment=»» disabled=no in-interface=WAN2 new-connection-mark=conex_WAN2 passthrough=yes
add action=mark-connection chain=input comment=»» disabled=no in-interface=WAN3 new-connection-mark=conex_WAN3 passthrough=yes
add action=mark-connection chain=input comment=»» disabled=no in-interface=WAN4 new-connection-mark=conex_WAN4 passthrough=yes
add action=mark-routing chain=output comment=»» connection-mark=conex_WAN1 disabled=no new-routing-mark=R_WAN1 passthrough=no
add action=mark-routing chain=output comment=»» connection-mark=conex_WAN2 disabled=no new-routing-mark=R_WAN2 passthrough=no
add action=mark-routing chain=output comment=»» connection-mark=conex_WAN3 disabled=no new-routing-mark=R_WAN3 passthrough=no
add action=mark-routing chain=output comment=»» connection-mark=conex_WAN4 disabled=no new-routing-mark=R_WAN4 passthrough=no
add action=mark-connection chain=prerouting comment=»» disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=conex_WAN1 passthrough=yes per-connection-classifier=both-addresses:4/0
add action=mark-connection chain=prerouting comment=»» disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=conex_WAN2 passthrough=yes per-connection-classifier=both-addresses:4/1
add action=mark-connection chain=prerouting comment=»» disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=conex_WAN3 passthrough=yes per-connection-classifier=both-addresses:4/2
add action=mark-connection chain=prerouting comment=»» disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=conex_WAN4 passthrough=yes per-connection-classifier=both-addresses:4/3
add action=mark-routing chain=prerouting comment=»» connection-mark=conex_WAN1 disabled=no in-interface=LAN new-routing-mark=R_WAN1 passthrough=no
add action=mark-routing chain=prerouting comment=»» connection-mark=conex_WAN2 disabled=no in-interface=LAN new-routing-mark=R_WAN2 passthrough=no
add action=mark-routing chain=prerouting comment=»» connection-mark=conex_WAN3 disabled=no in-interface=LAN new-routing-mark=R_WAN3 passthrough=no
add action=mark-routing chain=prerouting comment=»» connection-mark=conex_WAN4 disabled=no in-interface=LAN new-routing-mark=R_WAN4 passthrough=no
Nateamos para que podeamos salir por cada uno de los modems.
/ip firewall nat
add action=masquerade chain=srcnat comment=»» disabled=no out-interface=WAN1
add action=masquerade chain=srcnat comment=»» disabled=no out-interface=WAN2
add action=masquerade chain=srcnat comment=»» disabled=no out-interface=WAN3
add action=masquerade chain=srcnat comment=»» disabled=no out-interface=WAN4
Creamos las rutas, tomar en cuenta que mi proveedor cambia las ip cada cierto tiempo, por los que mis gateway cambian, por eso los default route son configurados por el puerto y no por un gateway fijo.
/ip route
add check-gateway=ping comment=»» disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WAN1 routing-mark=R_WAN1
add check-gateway=ping comment=»» disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WAN2 routing-mark=R_WAN2
add check-gateway=ping comment=»» disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WAN3 routing-mark=R_WAN3
add check-gateway=ping comment=»» disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WAN4 routing-mark=R_WAN4
Ahora configuramos la hora, si su equipo soporta esta opción, mantendrá la hora actualizada de manera automática.
/system ntp client
set enabled=yes mode=unicast primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29
Por ultimo te preguntaras,
¿me sirve? respuesta = si
¿como si tengo ip dinamica? = cambia la ip
¿cuando cambia la ip debo cambiarla manualmente? = no
¿osea lo hace solo? = si
¿como? = no preguntes tanto y copia esto…. y calla…
Este es el Script que te permitira actualizar la ip, cuando esta este caida ¿como? vas a seguir con las preguntas!! Espera ya explico, cada diez minutos chequea que la ip no este guindada en Bound, si lo esta el la desconecta y busca la nueva ip, asi deberia funcionar. Listo? copia pues:
/system script
add name=no_bound_dhcp_client policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
source=»:foreach i in=[/ip dhcp-client find status!=\»bound\»]\\ \r\
\n do={\r\
\n :log error (\»Se encontro en estado \» .[/ip dhcp-client get \$i status\
] .\» la \» .[/ip dhcp-client get \$i interface] .\» con ip \». [/ip dhcp-\
client get \$i address] );\r\
\n /ip dhcp-client disable \$i;\r\
\n:delay 4;\r\
\n /ip dhcp-client enable \$i;\r\
\n:delay 10;\r\
\n }\r\
\n»/system scheduler
add comment=»error de dhcp» disabled=no interval=10m name=no_bound_dhcp_client on-event=no_bound_dhcp_client policy=ftp,read,write,test,winbox,api start-date=jan/01/1970 start-time=00:00:00
Ya hemos terminado de configurar nuestro balanceador, prueba y verifica que esta funcionando todos el potencial de tu internet, ¿como lo haces? una forma fácil, toma un computador conectado a tu red sin limite de control y habré muchas paginas de Youtube mientras estas intentan cargar pondrá todas las lineas a trabajar, debido a que esta hace peticiones de conexiones independientes.
. : E l i D i a z : . 
Esta configuración no te da problemas si 2 o mas de los ABA coinciden con el mismo segmento de red (por lo que tomarian el mismo gateway) ??
Si pasa que hay conflicto al salir por el mismo gateway, solo desabilito de DHCP client por un rato (minimo 30 min) y trato que tome otra ip con otro gateway, tengo hasta el momento 6 lineas y a veces me engancha hasta 2 lineas con ese problema, resuelvo como te explique pero mientras sucede presentaras un poco de lentitud, ya que toda la carga recae en las lineas que quedan trabajando.
Saludos,
Estuve probando esta configuración recientemente con dos (2) ABA, pero lamentablemente no me funciona; simplemente la mayoría del trafico se sigue enrutando por una de las interfases o no me navega.
Básicamente la única modificación que tuve que hacer fue en la siguiente parte del mangle..
add action=mark-connection chain=prerouting comment=”” disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=conex_WAN1 passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting comment=”” disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=conex_WAN2 passthrough=yes per-connection-classifier=both-addresses:2/1
Pero no me funciona, ¿tendrás alguna sugerencia?
Hola Kelvin me pasa algo parecido lograstes solucionarlo?
No he podido; incluso probé varios códigos similares que encontré en la red apartándolos a mis 2 conexiones pero no logro que el balanceo sea efectivo con estos dos ABA’s.. De verdad creo que este código del creador de esta pagina le falta alguna información; porque no hay mucho de donde equivocarse a la hora de cargarlo en el Microtik. Yo uso un 750GL.
Tengo una configuracion en el mikrotik V 5.20 (routeros) en una PC y dos conexiones wan de 6 MB cada una, las dos lineas al conectarlas indivduales en una PC directamente funcionan bien pero al conectarlas al mikrotik solo funciona una en este caso (MODEM1) conectada a WAN1 y la otra (MODEM2) conectada a la WAN2 da un mensaje de syn sent en las conexiones de firewall y no abre las paginas que salgan por esa conexion. Luego cambio los cables de los modem entre las interfaces y entonces funciona la WAN2 conectada al MODEM1 y sigue fallando el MODEM2 conectado ahora a la WAN1, repito, los dos modem conectados directamente a una PC funcionan sin problemas y se puede navegar a la velocidad que indican.
Buenas Noches, lo intente hacer con una rb750gl tengo una linea aba que me llega a travez de un router tplink y otra que tengo el modem y llega directo, intente esta configuracion pero no me resulto, gracias
Buenas amigo, tengo una pc con s.o. mikrotik 5.24, dos lineas aba cantv con modem router, es decir, las ip’s se mantienen fijas, el equipo consta de dos tarjetas de red alambrica PCI 10/100/1000 y una integrada en la mother board 10/100/1000, las dos lineas estan conetadas a las tarjetas PCI y en la integrada un swicht D-Link donde conecto un AP mikrotik RBSXTG2HND, el equipo lo utilizo como balanceador de carga y hotspot y el AP esta en modo Bridge, todo funciona correctamente, la duda es, si el failover es para conexiones donde la ip es dinamica??, o tambien debo cnfigurar el failover en mi equipo??, gracias…
porque tildas allow-remote-requests??
Hola. he efectuado la programación de balanceo, funciona ok, pero no funcionan los redireccionamientos que ante funcionaban. Tienes alguna sugerencia. Gracias
Buenas tardes, novato en esto, algún buen script para hacer failover de dos WAN, una estática y la otra dinámica en un mikrotik que a su vez tiene establecida una vpn, ya funcionando, contra otro mikrotik, espero: si se activa el failover, vuelva a restablecerse la vpn con la segunda WAN, como información menciono que la WAN primaria es la dinámica, agradecido por la ayuda
Buenas noches tengo un router vpn balanceador NETGEAR como podría hacer para gestionar la ip publica DEL PUERTO WAN 1 (TENGOS 3 WAN ACTIVAS 3 MODEM CANTV C/U EN CADA PUERTO), para que se mantega en la difusión de toda lred, osea que todos los equipos reciban solo la ip WAN de puerto WAN 1, ya que me complica el acceso a un servidor que maneja DNS DINAMICO.
Buenas noches es posible que una pc con software mikrotik me sirva de balanceador pcc y al mismo tiempo me administre el ancho de banda para cada cliente de mi red?
Si es posible.. para iniciar es una opcion, pero al crecer es mejor tner un router de acceso a internet (sirvase de balanceador tambien) y un router que administre los clientes..
lo mas sencillo para no tener tantos problemas con los gateway de aba cuando estan en el mismo segmento es habilitar el modo router o dhcp en los modems y establecer un rango de direccionamiento personalizado con un gateway predetrminado, para la mayoria de los modems aba de cantv el usuario es admin y el password es c@ntv2000 , para cada modem estan publicados en internet los manuales y la ip default para administrarlos
Estimado una pregunta, existirá algún balanceador de cargas para mas de 8 puertos WAN?, no se de 16WAN quizá, si tiene conocimiento me podrá dar la marca y/o modelo. gracias !!
Pudes usar un RB1100 Ah o un Switch administrable y gestionar con el RB750 por medio de Vlan.. es mas economico
ESTA CONFIGURACION SIRVE DE GUIA PERO PERO NO SIRVE ESTAN MAL ESCRITA LAS SENTENCIAS
Las sentencias estan bien, solo que ya no es compatible con versiones nuevas de mikrotik.. ni con servicio de CANTV que entrega ip dinamica por ADSL.. Proximamente hare un nuevo post.
Buenas noches, Una pregunta has actualizado el Script para 4 ABAs, con segmentos de red parecidos y Fail Over???
Cuando ? dónde lo ubico ?