На днях тестировал функцию "Двойной WAN" на своем роутере ASUS. Решил рассказать вам, что из себя представляет эта функция, для каких целей ее можно использовать и как правильно настроить. Небольшая предыстория. Раньше у меня был установлен маршрутизатор ASUS RT-N18U, который работал с USB модемом. Сейчас стоит все тот же RT-N18U, но интернет уже не через 3G модем, а по WAN. Провели оптику, и теперь к роутеру подключен сетевой кабель от терминала FORA EP-1001E1.
Все работало замечательно, пока в один момент не пропал доступ к интернету. Позвонил к провайдеру, они сказали что кто-то сбил столб и линия оборвана. Скоро починят. Так как нужен был доступ к интернету, решил подключить к роутеру обратно USB модем и настроить "Двойной WAN". Да, можно было бы обойтись без этой функции, и просто переключится на оптику, когда ее починят. Но я решил проверить, что это такое и рассказать об этом вам.
Функция "Двойной WAN" позволяет настроить на маршрутизаторе ASUS два подключения к интернету. Это может быть WAN (см. что такое WAN) и USB (модем, или телефон на Android в качестве модема) , или WAN и один из LAN портов. То есть, интернет (кабель) можно подключить в WAN-порт, и еще в один из LAN-портов. Например, когда у вас два провайдера. Мне кажется, с помощью этой функции можно еще и WAN-порт переназначить. Если он сломался, например.
Такая схема решает две задачи (режим двойного WAN) :
- Отказоустойчивость – когда одно подключение является главным, а второе резервным. Например, как в моем случае. Пропал интернет по WAN (обрыв линии, или еще что-то) и роутер автоматически переходит на резервное подключение. Используется второй WAN. В моем случае – USB модем.
- Балансировка нагрузки – маршрутизатор будет одновременно использовать два подключения к интернету распределяя нагрузку между ними. За счет этого пропускная способность сети и скорость увеличится. Так как нагрузка будет распределяться между двумя каналами связи.
Не знаю, будет ли кто-то использовать эту функцию для распределения нагрузки между двумя подключениями (провайдерами) . Хотя, в некоторых ситуация такая возможность может пригодится. А вот настройка резервного подключения – штука полезная. Особенно в тех случаях, когда у вас настроено видеонаблюдение, управление отопительным котлом, или другими устройствами, которым нужен доступ к интернету. Пропал интернет по главному каналу и связь с камерами утеряна. А после настройки двойного WAN, роутер ASUS будет практически мгновенно и автоматически переключаться на резервное подключение. И при необходимости возвращаться на главный канал, когда он заработает (если вы укажете это в настройках) .
Это особенно актуально, когда роутер установлен где-то на даче, или на каком-то объекте, к которому вы не можете быстро добраться, чтобы решить проблему с подключением.
Настройка функции "Двойной WAN" на роутере ASUS
Для настройки необходимо зайти в панель правления маршрутизатора ASUS по адресу 192.168.1.1. Дальше открыть раздел "Интернет" и перейти на вкладку "Двойной WAN".
А дальше по пунктам:
- Переключатель возле пункта "Включить двойной WAN" переводим в положение ON.
- Первичный WAN – выбираем из списка подключение, которое будет главным. Скорее всего, у вас это будет WAN-порт.
- Вторичный WAN – указываем второе подключение. В режиме "Отказоустойчивость" оно будет резервным. У меня это "USB". Так же можно выбрать "Ethernet LAN". Если вы выберете этот вариант, то понадобится еще указать номер LAN-порта, который будет использоваться как второй WAN.
- Режим двойного WAN – это то, о чем я писал выше. "Отказоустойчивость", или "Балансировка нагрузки".
- Если вы хотите, чтобы роутер автоматически переключался на первый WAN (когда он заработает) , а не оставался на резервном подключении, то нужно поставить галочку возле "Разрешить восстановление после сбоя".
Это были главные настройки. Рассмотрим еще настройки обнаружения сети.
- Detect Interval – скорее всего здесь задается интервал времени, после которого наш ASUS будет переходить на резервное подключение, после разрыва главного подключения.
- Время переключения при сбое – эта настройка будет только в том случае, если вы включили функцию "Разрешить восстановление после сбоя". Тут можно указать время (в секундах) , через которое роутер будет переходить на главный канала (Первый WAN) . После того, как он снова станет активным (появится соединение) .
- Failback Execution Time – честно говоря, я не очень понял, что это за настройка. Скорее всего это время, через которое роутер будет проверять доступность соединения на первичном WAN.
- Enable Ping to Internet (пинг в интернет) – У меня он был отключен. Если включить, то нужно указать еще сайт, к которому роутер будет делать пинг (например, google.com) . Я так понимаю, роутеру это необходимо для того, чтобы проверять есть ли интернет на определенном канале связи.
Скриншот с моими настройками.
После настройки нажимаем на кнопку "Применить" и ждем пока роутер перезагрузится.
Снова заходим в настройки, чтобы настроить подключение к интернету на каждом WAN. Или просто проверить настройки.
В разделе "Интернет" в меню "Тип WAN" выбираем "WAN" и проверяем/задаем настройки подключения к провайдеру. У меня "Динамический IP", так что настраивать ничего не нужно.
Сохраняем настройки. В меню "Тип WAN" выбираем второе подключение "USB" или "Ethernet LAN" и задаем необходимые параметры для подключения к интернету через этот порт. У меня это "USB", и я настроил подключение к своему оператору через модем. О настройке 3G/4G модема на роутере ASUS я писал здесь.
Сохраняем параметры и выходим на главную страницу "Карта сети", или заходи в настройки заново после перезагрузи роутера.
Вот как выглядит карта подключения, когда у меня перестал работать интернет на первичном WAN (по кабелю, который подключен в WAN-порт) .
Как видите, подключение "Первичный WAN" не работает, и роутер автоматически начал использовать "Вторичный WAN".
А когда главное подключение заработало (починили линию) , то роутер переключился на него, а резервное подключение перешло в режим ожидания.
Вот так это работает.
Вы можете выделить одно из подключений, и справа появится информация и статус подключения.
Я даже не ожидал, что все будет работать так хорошо. Протестировал несколько вариантов. Отключал соединение и смотрел, как роутер ASUS будет переходить на резервный канал. Все работает без сбоев. Надежность соединения после настройки этой функции возрастает в два раза. Особенно, если у вас в качестве второго WAN используется еще один кабель, а не USB модем. Но и модем, как правило, работает стабильно. Для запасного канала связи его достаточно.
Напишите в комментариях, как вы используете "Двойной WAN" и для каких задач.
Dual WAN connection on Cisco with Policy-based routing
Оригинал: pierky.wordpress.com/2009/03/28/dual-wan-connection-on-cisco-with-policy-based-routing-pbr
Статья изменена мной, т.к. последовательность действий, описанная в оригинальной статье не давала положительного результата.
Считаю, что эта статья может быть полезна людям, которые еще не знают что такое маршрутизация на основе политик (policy-based routing). Можно начать изучение данной темы с чтения официальной документации на сайте Cisco.com, но лично мне намного удобней начинать изучение новой технологии с конкретного примера её реализации. Это позволяет сразу же понять с чем ты имеешь дело и как это в дальнейшем можно будет использовать.
Имеем:
- Маршрутизатор Cisco с двумя WAN соединениями к провайдеру.
- «Бронзовый» линк — узкий канал, подсеть с маской /30.
- «Золотой» линк — широкий канал, имеется подсеть «точка-точка» с маской /30 и подсеть с маской /24 для своих нужд.
Заметим, что мы не можем посылать трафик подсети 1.1.1.0/24 через «бронзовый» линк.
Цели:
- Пользователи из LAN должны иметь доступ в Интернет.
- Важный для нас трафик должен передаваться через «золотой» линк.
- Наша серверная площадка должна быть доступна из-вне через «белые» IP адреса.
Для простоты, в нашем примере важным трафиком будет Telnet. В реальной жизни это может быть RTP, трафик баз данных и т.п.
В данной топологии присутствует 5 интересующих нас направлений движения трафика:
- LAN -> Критически важные сервисы [«Золотой» линк]
- LAN -> WAN [«Бронзовый» линк]
- LAN -> Server farm
- ServerFarm -> WAN [«Золотой» линк]
- ServerFarm -> LAN
Трафик из LAN в направлении WAN или Критически важных сервисов необходимо транслировать через NAT, но помните, что трафик вначале маршрутизируется, а только потом транслируется NAT’ом. Так что в первую очередь обратим своё внимание на настройку маршрутизации пакетов. К настройке NAT’а вернемся позже.
Обычная маршрутизация просто пересылает пакеты основывась на адресе назначения, её не заботит информация 4го уровня (Транспортный уровень модели OSI) или IP-адрес источника. Как в этом случае организовать маршрутизацию основываясь на других параметрах, например на номере TCP порта места назначения? Для реализация такого функционала и создана маршрутизация на основе политик (Policy-based Routing). PBR может принимать решения на основе целого ряда параметров: адрес источника, порт назначения, QoS метки.
Приступим к конфигурированию.
Во-первых приведем начальную конфигурацию нашего маршрутизатора:
interface Serial2/0
description Bronze
ip address 2.2.2.2 255.255.255.252
!
interface Serial2/1
description Gold
ip address 3.3.3.2 255.255.255.252
!
interface FastEthernet0/0
description LAN
ip address 192.168.0.1 255.255.255.0
!
interface FastEthernet1/0
description ServerFarm
ip address 1.1.1.1 255.255.255.0
Просто назначаем IP-адреса интерфейсам и «поднимаем» их (no shutdown). Синхронизацию на Serial интерфейсах выдает ISP.
Устанавливаем маршрут по умолчанию для нашего маршрутизатора (GW) через «бронзовый» линк:
ip route 0.0.0.0 0.0.0.0 Serial2/0
Теперь приступим к развертыванию маршрутизации на основе политик (PBR).
Создадим расширенный именованный список управления доступом (ACL) в котором определим какой трафик будет являться приоритетным:
ip access-list extended GoldServices
deny ip any 1.1.1.0 0.0.0.255 //Запретить IP трафик в подсеть 1.1.1.0/24
permit tcp any any eq telnet //Разрешить TCP трафик где порт назначения 23(Telnet)
deny ip any any //Запретить весь IP трафик
Данный список доступа используется для того, чтобы выделить telnet трафик направленный не к серверной площадке.
Определим маршрутную карту (route-map) которая будет перехватывать интересующий нас трафик (telnet во внешнюю сеть) и направлять его на необходимый интерфейс («золотой» линк):
route-map PBR_LAN permit 10
match ip address GoldServices //Определяем какой трафик необходимо обрабатывать
set interface Serial2/1 Serial2/0 //Устанавливаем интерфейсы для маршрутизации трафика
Применим созданную карту на интерфейс подключенный к сегменту LAN:
interface FastEthernet0/0
description LAN
ip policy route-map PBR_LAN //"Привязываем" маршрутную карту к интерфейсу
Если пакет не подпадает ни под одну маршрутную карту, то он просто маршрутизируется исходя из стандартных правил (в нашем случае будет направлен в «бронзовый» линк).
Необходимо отметить что мы указали два интерфейса в комманде set interface Serial2/1 Serial2/0 — в этом случае, если канал через Serial2/1 откажет, маршрутизатор начнет использовать интерфейс Serial2/0 для пересылки важного трафика. Это дает нам некоторую избыточность и отказоустойчивость по отношению к важному трафику.
Существует возможность обеспечить резервирование и для трафика, который не является приоритетным (трафик идущий через «бронзовый» линк):
ip route 0.0.0.0 0.0.0.0 Serial2/1 10 //Добавляем статический маршрут с метрикой 10, он будет адействован только если "бронзовый" линк откажет
Те же шаги повторим для трафика между серверной площадкой и внешней сетью.
ip access-list extended ServerFarm-To-WAN
deny ip 1.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 //Запретить IP трафик из подсети 1.1.1.0/24 в подсеть 192.168.0.0/24
permit ip any any //Разрешить весь IP трафик
!
route-map PBR_ServerFarm permit 10
match ip address ServerFarm-To-WAN //Определяем какой трафик необходимо обрабатывать
set interface Serial2/1 //Устанавливаем интерфейсы для маршрутизации трафика
!
interface FastEthernet1/0
description ServerFarm
ip policy route-map PBR_ServerFarm //"Привязываем" маршрутную карту к интерфейсу
Эти комманды позволят нам направлять трафик от серверов к внешним узлам исключительно через «золотой» линк. Трафик же идущий от серверов к нашим локальным пользователям не попадет во внешние каналы. К сожалению мы не сможем добавить второй интерфес для обеспечения отказоустойчивости, т.к. наш провайдер не примет трафик из подсети 1.1.1.0/24 на своем «броновом» линке.
На этом настройка маршрутизации завершена. Приступим к настройке NAT’а.
У нас есть 1 внутренний интерфейс (inside) и два внешних (outside):
interface FastEthernet0/0
description LAN
ip nat inside
!
interface Serial2/0
description Bronze
ip nat outside
!
interface Serial2/1
description Gold
ip nat outside
Создадим пул адресов для трансляции пакетов идущих в «зололтой» линк:
ip nat pool LAN-to-Gold 1.1.1.20 1.1.1.20 netmask 255.255.255.0 //Пул состоит из одного адреса 1.1.1.20/24
Создадим список управления доступом для того, чтобы выделить трафик идущий из LAN во внешнюю сеть.
ip access-list extended Trivial
permit ip 192.168.0.0 0.0.0.255 any //Разрешить трафик из подсети 192.168.0.0/24
deny ip any any //Запретить весь IP трафик
Определим две маршрутные карты, которые будут использоваться в трансляции адресов:
route-map NAT_Gold permit 10
match ip address GoldServices //Определяем какой трафик необходимо обрабатывать
match interface Serial2/1 //Устанавливаем интерфейс для маршрутизации трафика
!
route-map NAT_Bronze permit 15
match ip address Trivial //Определяем какой трафик необходимо обрабатывать
match interface Serial2/0 //Устанавливаем интерфейсы для маршрутизации трафика
И последнее:
ip nat inside source route-map NAT_Gold pool LAN-to-Gold overload //Трафик смаршрутизированный на "золотой" линк подвергается трансляции через пул NAT_Gold
ip nat inside source route-map NAT_Bronze interface Serial2/0 overload //Трафик смаршрутизированный на "бронзовый" линк пересылается через интерфейс Serial2/0
- Цена: $115.99
- Перейти в магазин
В этом обзоре я поделюсь своими впечатлениями о своем новом домашнем роутере ASUS RT — AC66U B1.
Вступление
Идея сменить маршутизатор у меня была уже довольно давно, но с началом моей эпопеи с внедрением умного дома встала остро как никогда. Несколько лет назад я сменил свой старенький D-link dir-600 на TP-LINK TL-WR1043 — который меня вполне устраивал до последнего времени.
Но «фишка» TP-LINKа, позволяющего выделять не более 8 IP адресов с привязкой по MAC в настройках DHCP (привязать то можно и больше, но работать будет только 8 первых) — меня категорически не устраивала и я приступил к поиску.
Исходные требования у меня сформировались следующие —
1. Двухдиапазонный (менять так менять, тем более что 2.4 ГГц диапазон в многоэтажном доме порядочно забит соседскими сетями)
2. Обязательно гигабитные порты, не менее четырех (та причина по которой я не съехал на Xiaomi MiWiFi как только они появились)
3. Раз уж умный дом — то наличие VPN сервера, предпочтительно OpenVPN
Я чуть было не решился на LINKSYS WRT1200AC — но потом одумался и решил остановится на герое обзора ASUS RT — AC66U B1.
Покупал за 115.99 (скрин платежки под спойлером), что примерно на 10 — 15 долларов дешевле чем в местных магазинах, но удобно еще тем, что позволяет потратить WMZ — без потерь на конвертацию в национальную валюту.
Технические характеристики
Стандарты: IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, IEEE 802.11ac, IPv4, IPv6
Категория: AC1750 superior AC performance: 450+1300 Mbps
Скорость передачи данных:
802.11a: 6,9,12,18,24,36,48,54 Mbps
802.11b: 1, 2, 5.5, 11 Mbps
802.11g: 6,9,12,18,24,36,48,54 Mbps
802.11n: up to 450 Mbps
802.11ac: up to 1300 Mbps
Антенна — External antenna x 3
Прием/передача — MIMO technology, 2.4 GHz 3 x 3, 5 GHz 3 x 3
Рабочая частота — 2.4 GHz / 5 GHz
Firewall / Контроль доступа — Firewall:SPI intrusion detection,DoS protection
Access control:Parental control, Network service filter, URL filter, Port filter
Управление: UPnP, IGMP v1/v2/v3, DHCP, NTP Client, DDNS, Port Trigger, Port Forwarding, DMZ, Universal Repeater, System Event Log
Интерфейсы: RJ45 for 10/100/1000 BaseT for WAN x 1, RJ45 for 10/100/1000 BaseT for LAN x 4, USB 2.0 x 1, USB 3.0 x 1
Гостевые сети: 2.4 GHz x 3, 5 GHz x 3
VPN server: IPSec Pass-Through, PPTP Pass-Through, L2TP Pass-Through, PPTP Server, OpenVPN Server
VPN client: PPTP client, L2TP client, OpenVPN client
Первичный осмотр
Поставляется роутер в коробке, явно предназначенной для китайского рынка, судя по обилию иероглифов. Хотя привычный к гаджетам для умного дома Xiaomi — я уже к ним привык
К упаковке претензий нет — по коробке ничего не болтается, доехало все в целости и сохранности.
В комплекте — сам роутер, блок питания, буклет и диск (в которые я так и не заглядывал, инструкции — это не спортивно 🙂 )
Блок питания на 19 В, заявленный ток — 1,75 А, проверять не буду, поверим на слово. В данной комплектации — вилка плоская, переходник в комплекте идет, но я давно перестал ими пользоваться — универсальные розетки и удлинители от Xiaomi — однозначно рулят.
Роутер выполнен из черного пластика, местами глянцевого, местами матового. Большая часть поверхности имеет оригинальную текстуру
На верхней части расположены светодиодные индикаторы (синий цвет) активности LAN портов, наличия соединения с Интернет, активности 5 и 2.4 ГГц сети и питания.
На фронтальном торце расположен разъем USB 3.0, который вкупе с более мощным двухъядерным процессором является отличием ревизии B1 от В0.
Сзади устройства находятся — разъем питания, кнопка включения, второй разъем USB — на этот раз 2.0, WAN и 4 LAN порта — все гигабитные и кнопка WPS — для подключения устройств.
Антенны — вроде как я читал что должны быть съемные, но на деле, не откручиваются, но не больно то и надо.
Нижняя сторона роутера — содержит некоторую техническую информацию — МАС по умолчанию, PIN код, серийный номер, название сетей по умолчанию. Креплений на стену нет.
На этом предлагаю обзорную часть прекращать и перейти к настройке. Разбирать его особого смысла не вижу — не считаю себя умнее инженеров Asus спроектировавших данный гаджет.
Веб интерфейс
Работать с роутером можно как через «веб-морду» так и через приложение под Android / IOS. Трудностей для тех у кого есть смартфоны / планшеты но нет стационарного компьютера ( а таких людей много ) — не будет.
Интерфейс выполнен в темных тонах, по умолчанию на китайском, но в правом верхнем углу имеется селектор выбора языков, которых в системе довольно много, имеется и русский и украинский и кому нравится — румынский.
Настройки для 2.4 ГГц и 5 ГГц сети — здесь задаем название каждой из сетей, пароль, режим, ширину и номер канала и т.д.
можем при необходимости скрыть трансляцию ее названия (SSID), здесь же имеются вкладки по настройке WPS (Wi-Fi Protected Setup) — полуавтоматическое подключение устройств к сети, WDS (Wireless Distribution System) — для расширения зоны беспроводной сети путем объединения нескольких роутеров, фильтр по МАС адресам, настройка сервера Radius.
B еще дополнительным настройкам которые могут пригодится системным администраторам
В настройках LAN — указываем внутренний адрес нашего роутера
Диапазон выдачи динамических IP адресов сервером DHCP
Который умеет отдавать 64 статических адреса по привязке к MAC — что мне как бальзам на душу после 8 адресов TP-Link
Настройка статических маршрутов,
IPTV и Switch Control
WAN порт — соединение с провайдером
WAN порт поддерживает несколько вариантов подключения, в зависимости от того что предлагает Ваш провайдер, имеется возможность скопировать нужный MAC адрес — если провайдер производит проверку по нему — в таком случае, оборудование с его стороны и не заметит замены.
Имеется интересная функция двойного WAN порта — что позволит иметь резервный канал доступа в Интернет, при пропадании основного, например через USB модем. Резервное питания для роутера, шлюзов и одноплатных ПК я уже организовал, обязательно попробую еще сделать резервный доступ к Интернет.
Так же имеются опции по переключению и переадресации портов, DMZ — демилитаризованная зона, сегмент сети, содержащий общедоступные сервисы,DDNS — динамическая система доменных имен и т.д.
То, что меня очень интересовало, роутер имеет возможность организовать два типа VPN серверов — PPTP — (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. C авторизацией по имени пользователя и паролю
и OpenVPN — принцип аналогичен, но более защищенный вариант, так как кроме имени и пароля роутер генерирует специальный файл — ключ, для каждого подключаемого устройства.
В дополнительных настройках указывается диапазон IP адресов, которые будут выдаваться устройствам подключенным по VPN. Отличный вариант для удаленного подключения к домашней сети, я использую совместно с приложением для управления системой Domoticz — ImperiHome
Чтобы не перегружать обзор большим количеством скриншотов, я на этом остановлюсь, но если Вы хотите больше узнать о веб интерфейсе роутера — то можете это сделать просмотрев мой видеообзор, ссылка на который будет в конце текстового.
Для тех у кого нет возможности или желания возится с веб интерфейсом — имеется возможность настраивать и управлять роутером через приложение Asus Router из плеймаркета или эплстор.
Приложение работает либо в одной локальной сети с роутером, либо через VPN — облачного интерфейса нет. В принципе все тоже самое что есть в веб-интерфейсе есть и здесь — и текущее состояние по трафику и перечень подключенных устройств (33 устройства в домашней сети — сам в шоке), и настраивать сами сети в том числе гостевые
Все настройки сгруппированы на отдельной странице, отдельно имеются страницы с плагинами — такими как работа с облаком, камерой, расширение сети, и даже имеется возможность установки плагинов от сторонних разработчиков.
Примеры — как выглядят настройки и мониторинг из мобильного приложения Asus Router
За такое удобство — отдельный плюс в карму производителя.
Более подробно по приложению — так же в видеообзоре
Эксплуатация
Конечно опыт эксплуатации всего несколько дней, но в целом мне нравится. Сам процесс настройки и смены старого роутера на новый занял буквально 10 минут. После чего я выключил свой TPLink, сменил название 2.4 ГГц сети на Asus — на то что у меня было и поставил его на свое место, подключив все кабеля. 
Все устройства ( а их у меня немало ) — сразу подхватили сеть на новом роутере — никаких проблем не возникло. Все что можно — я перевел на сеть 5 ГГц, которая работает намного шустрее, например на смартфоне Xiaomi Note 3 скорость подключения на 2.4 ГГц — 72 Мбит/сек, на 5 ГГц — 433 МБит/сек, в качестве примера спидтест сделанный в одно время в одном месте на 2.4 и 5 ГГц сетях — в два раза прирост скорости. Немаловажно что диапазон 5 ГГц гораздо менее загружен соседскими сетями.
Туда же в 5ГГц отправился основной ноутбук, камеры Xiaomi Mijia 1080p (кстати шустрее стало грузится видео — однозначно).
OpenVPN — работает отлично, подключается моментально, ImperiHome для домотикза — работает прекрасно.
Все поставленные цели — которые я преследовал меняя роутер — достигнуты на 100%.
Видеообзор — где все немного более подробно: