Konfiguracja MikroTik — Część 88: Routing Policy Based Routing (PBR) z wykorzystaniem Firewall Mangle i Routing Tables
Konfiguracja MikroTik — Część 88: Routing Policy Based Routing (PBR) z wykorzystaniem Firewall Mangle i Routing Tables
Wprowadzenie
W tradycyjnych konfiguracjach routerów decyzja o kierunku przesyłu pakietu opiera się na najprostszej regule — najlepsza trasa w tablicy routingu. Jednak w złożonych sieciach często zachodzi potrzeba, aby pakiety z określonych źródeł, usług lub interfejsów wychodziły przez konkretne łącze, niezależnie od standardowej polityki routingu.
Taki scenariusz realizujemy za pomocą Policy Based Routing (PBR), który MikroTik obsługuje przez Firewall Mangle i niestandardowe tablice routingu. W tej części przedstawiamy pełne wdrożenie PBR — od stworzenia tras, przez oznaczenia routingu, aż po diagnostykę.
Przykład scenariusza zastosowania
- Sieć LAN 192.168.10.0/24 korzysta z łącza ISP1
- Sieć VoIP 192.168.20.0/24 ma korzystać z łącza ISP2
- Reszta ruchu korzysta z ISP1 jako domyślnego
Krok 1 — Dodanie dodatkowej tablicy routingu
/routing table
add name=to_ISP2 fib
Krok 2 — Konfiguracja tras dla niestandardowej tablicy
/ip route
add dst-address=0.0.0.0/0 gateway=192.0.2.1 routing-table=to_ISP2
Gdzie 192.0.2.1 to gateway ISP2
Krok 3 — Oznaczanie pakietów w Mangle
/ip firewall mangle
add chain=prerouting src-address=192.168.20.0/24 action=mark-routing new-routing-mark=to_ISP2 passthrough=yes
Krok 4 — Testowanie trasowania
Polecenie:
/ip route check 8.8.8.8 routing-table=to_ISP2
Krok 5 — Weryfikacja działania
W narzędziu Torch na interfejsie ISP2 powinniśmy widzieć ruch tylko z podsieci VoIP
/tool torch interface=ether2
Krok 6 — Firewall i NAT
Nie zapominaj o dodaniu reguł NAT dla podsieci kierowanej przez ISP2
/ip firewall nat
add chain=srcnat src-address=192.168.20.0/24 out-interface=ether2 action=masquerade
Krok 7 — Zaawansowane scenariusze
- Wydzielone pasmo VoIP przez PBR i Queue Trees
- Routing ruchu HTTPS innym łączem — np. przez VPN
- Dedykowane połączenia VLAN na określonego ISP
Najczęstsze błędy
- Brak odpowiednich reguł NAT dla oznaczonego ruchu
- Nieprawidłowa konfiguracja Mangle z passthrough=no
- Zapętlenie routingu lub zduplikowane oznaczenia
Krok 8 — Monitorowanie i diagnostyka
- Torch + Packet Sniffer
- Sprawdzanie tras pakietów:
/tool traceroute 8.8.8.8 routing-table=to_ISP2
Krok 9 — Wydajność i skalowanie
- MikroTik obsługuje do kilkuset oznaczeń routingu — przy dużej liczbie używaj rozważnie
- PBR wpływa na CPU przy intensywnym ruchu — warto monitorować
/system resource monitor
Krok 10 — Scenariusze produkcyjne
- Obsługa rozdzielonych sieci w firmie
- Łączenie backupowych łącz internetowych
- Ruch krytycznych usług przez VPN
- Równoważenie obciążenia użytkowników firmowych
Podsumowanie
Policy Based Routing na MikroTik to niezwykle elastyczne narzędzie, pozwalające na pełną kontrolę nad trasowaniem pakietów w sieci. W połączeniu z Mangle, NAT i Firewall umożliwia projektowanie złożonych polityk sieciowych, bez konieczności inwestycji w drogie routery klasy operatorskiej.
Administratorzy mogą budować zaawansowane scenariusze failover, rozdzielania usług i ochrony krytycznego ruchu przy zachowaniu pełnej kontroli na poziomie pakietu.
Jak chronić smartfon Android przed malware i spyware w 2026 roku W 2026 roku smartfony z Androidem pozostają jednym z Czytaj dalej
🌍 Jak naprawić problemy z zdalnym dostępem do maszyn wirtualnych? 🧠 Wprowadzenie: Rola zdalnego dostępu w środowiskach opartych o wirtualizację Czytaj dalej
