Priorizace provozu v síti s routerOS (Mikrotik)

Řízení provozu na síti lze jistě řešit několika způsoby. Já zde popisuji jeden ze způsobů, který osobně používám a který funguje. Předpokládejme síť založenou na systému routerOS.

Bodově lze postup rozepsat takto:

  • Klasifikace sítových spojení (na portech které chceme priorizovat a jejich zařazení do samostatného řetězce (chain)
  • Označkování příchozích a odchozích paketů v rámci daného řetězce
  • Návrat do řetězce FORWARD
  • Nastavení queue types a queue tree

Postup prakticky:

  1. Klasifikace sítových spojení (na portech které chceme priorizovat a jejich zařazení do samostatného řetězce (chain).
/ip firewall mangle
add action=mark-connection chain=forward comment="klasifikace WEB" disabled=\
no new-connection-mark=web passthrough=yes port=20,25,53,80,443,110,993 \
protocol=tcp
add action=jump chain=forward connection-mark=web disabled=no jump-target=web
add action=mark-connection chain=forward comment="klasifikace p2p" disabled=\
no new-connection-mark=p2p p2p=all-p2p passthrough=yes
add action=jump chain=forward connection-mark=p2p disabled=no jump-target=P2P
add action=jump chain=forward comment="klasifikace ostatni" disabled=no \
jump-target=ostatni

VPN připojení k firemní síti ve windowsXP,7,8

Popíšu zde jednu z možností jak se připojit k firemní sítí pomocí VPN, konkrétně přes PPtP, které je v systému windows už implementované. Předpokládejme, že máme nakonfigurovaný PPtP server ve firmě a účet pro VPN s dvěma IP např. 10.10.0.10 (local address) a 10.10.0.11 (remote address). Firemní síť do které se chceme připojit je např. v rozsahu 192.168.0.0/26

Standardně je ve windows PPtP nastaven tak, že po spojení defaultně používá výchozí bránu vzdálené sítě, což je velmi nepraktické a velmi omezující a to mě nutilo hledat řešení, které by routovalo běžné používání internetu přes výchozí bránu mého ISP a pouze provoz směrovaný do firemní sítě odklonil přes výchozí bránu VPN tunelu v mém případě přes GW 10.10.0.10. Takové řešení totiž umožňuje mít VPN zapnutou trvale, aniž bych byl omezen rychlostně nebo mi byly omezeny některé služby např. email atp.

Postup je tedy takový, že vytvoříme VPN spojení se serverem a v nastavení VPN připojení ve windows zrušíme volbu „používat výchozí bránu vzdálené sítě“ viz obrázek níže …

vpn2

Odškrtnutím této volby se stane, že VPN sice bude spojena ale do cílové sítě neuvidíme, což nechceme. Důležitým krokem tedy je nastavení perzistentní routy, která nám zajistí trvalé směrování do sítě 192.168.0.0/26 přes GW 10.10.0.10.

Spustíme tedy příkazový řádek s právy administrátora a zadáme níže uvedený příkaz…

route add -p 192.168.0.0/26 10.10.0.10

Parametr „-p“ zajistí, že routa bude perzistentní, tedy trvale nastavena i po restartu PC. Od této chvíle bude provoz do sítě 192.168.0.0/26 směrován přes VPN a veškerý ostatní provoz bude směrován přes výchozí bránu našeho připojení k internetu.

Ověřit si to můžeme těmito příkazy:

tracert -d www.seznam.cz
tracert -d 192.168.0.1