Configurazione rete – Aggregazione WAN + Failover con Mikrotik

[Drazen18]

Ciao a tutti,

sto cercando di configurare in modo definitivo la mia rete, ma dopo diversi tentativi non ho ancora trovato la soluzione ottimale. Vi descrivo la situazione:





Struttura attuale della rete:


• Connessione principale: Starlink Residenziale Gen 2, attualmente collegata al router in dotazione, che vorrei bypassare.


• Switch principali: 2x Mikrotik CRS326-24G-2S+RM, uno configurato per gestire il traffico.


• Connessione secondaria: FWA dedicata 100 Mbps (INTRED) tramite ponte radio, che distribuisce la rete in 4 locali con altri ponti radio.


• Router da installare: Mikrotik L009UIGS-RM per migliorare la gestione della rete INTRED.





Obiettivi che voglio raggiungere:


1. Aggregazione delle due connessioni (Starlink 200 Mbps + INTRED 100 Mbps) per ottenere maggiore stabilità e velocità.


2. Failover efficiente: se una delle due linee cade, voglio che l’altra subentri automaticamente senza disservizi (attualmente, se INTRED si blocca, la rete crolla).


3. Installazione del router Mikrotik L009UIGS-RM sulla rete INTRED per ottimizzare la gestione.


4. Creazione di VLAN o, in alternativa, riorganizzazione della rete con sottoclassi per evitare congestioni.





Qualcuno ha esperienza con una configurazione simile su Mikrotik e può suggerirmi il setup ideale? Qualsiasi consiglio su RouterOS, failover WAN e gestione delle VLAN è ben accetto!





Inoltre, se c’è qualche consulente aziendale esperto in Mikrotik disponibile a fornire supporto professionale, mi farebbe piacere discuterne.

 

[jesse83]

@r3dl4nce

 

[Drazen18]

@r3dl4nce
sarei disposto a una collaborazione, ovviamente a pagamento. Capisco che non sia semplice intervenire nelle aziende, ma al momento, tutti quelli che ho consultato – e che tanto si vantano di essere esperti o professionisti – sono andati in tilt non appena si è citata la connessione Starlink.

Tuttavia, avendo un’attività in alta montagna, sono obbligato ad avere Starlink come connessione principale. Inoltre, ho installato dei microTim per gestire meglio la questione del firewall, ma alcuni consulenti mi hanno detto che il firewall integrato negli switch MikroTik in realtà è semplicemente un gateway e non svolgerà mai le vere funzioni di un firewall.

Vorrei fare un po’ di chiarezza

 

[jeyhw]

@r3dl4nce
sarei disposto a una collaborazione, ovviamente a pagamento. Capisco che non sia semplice intervenire nelle aziende, ma al momento, tutti quelli che ho consultato – e che tanto si vantano di essere esperti o professionisti – sono andati in tilt non appena si è citata la connessione Starlink.

Tuttavia, avendo un’attività in alta montagna, sono obbligato ad avere Starlink come connessione principale. Inoltre, ho installato dei microTim per gestire meglio la questione del firewall, ma alcuni consulenti mi hanno detto che il firewall integrato negli switch MikroTik in realtà è semplicemente un gateway e non svolgerà mai le vere funzioni di un firewall.

Vorrei fare un po’ di chiarezza

Non ho mai avuto a che fare con Starlink ma non capisco perché i cosiddetti esperti siano andati in tilt al solo citarla. Ma magari mi sfugge qualcosa. Ci sono decine di video e articoli su internet in merito. Ma poi alla fine che ci devi settare? Se ho capito bene deve essere parte di una configurazione Dual WAN failover/load balancing che verrebbe gestita da un router Mikrotik sui cui dovrebbero essere create anche le VLAN, quindi il grosso del lavoro lo farebbe RouterOS.
Per quanto riguarda la questione del Firewall Mikrotik, ci sono sostanzialmente due diverse linee di pensiero. C'è chi lo considera un firewall a tutti gli effetti e chi poco più di un ACL. Io sono più o meno in questo secondo gruppo per quanto sia un estimatore di questi device. Ma non vorrei scatenare una diatriba inutile, non me ne frega niente.
Se la tua azienda non è piccola e gestisce anche dati importanti secondo me meglio orientarsi su Firewall più quotati, ma i costi lieviterebbero sensibilmente. Se invece non vuoi svenarti e accetti certi compromessi anche un OPNsense come firewall sarebbe migliore di quello offerto dal Mikrotik.

 

[r3dl4nce]

@r3dl4nce
sarei disposto a una collaborazione, ovviamente a pagamento.

Non è il mio modo di fare, lavoriamo se possiamo fornire un servizio valido che richiede installazione, manutenzione, ecc nulla che si possa fare da remoto.

Capisco che non sia semplice intervenire nelle aziende, ma al momento, tutti quelli che ho consultato – e che tanto si vantano di essere esperti o professionisti – sono andati in tilt non appena si è citata la connessione Starlink.

Io ad oggi non l'ho mai trovata in prima persona, ma ce l'ho da un cliente che si è attivato da solo, ha preso l'adattatore ethernet di starlink, ci ho collegato un router mikrotik e funziona senza problemi

Tuttavia, avendo un’attività in alta montagna, sono obbligato ad avere Starlink come connessione principale. Inoltre, ho installato dei microTim per gestire meglio la questione del firewall, ma alcuni consulenti mi hanno detto che il firewall integrato negli switch MikroTik in realtà è semplicemente un gateway e non svolgerà mai le vere funzioni di un firewall.

Il firewall integrato nei Mikrotik svolge le normalissime funzioni di firewall L3 e alcune funzionalità L7.
Non è chiaramente un IPS/IDS, se vuoi servizi di questo tipo ti serve un firewall più avanzato o un pc / minipc con Opnsense e Zenarmor.


Comunque, in base alle tue richieste

1. Aggregazione delle due connessioni (Starlink 200 Mbps + INTRED 100 Mbps) per ottenere maggiore stabilità e velocità.

Evita, aggregare connessioni molto diverse ti darà più problemi che vantaggi, comunque su mikrotik devi usar ele regole di mangle e il PCC
Trovi la guida qua, ma, ripeto, lo sconsiglio, comunque puoi provare e vedere coem ti va

Per connection classifier - RouterOS - MikroTik Documentation

help.mikrotik.com

2. Failover efficiente: se una delle due linee cade, voglio che l’altra subentri automaticamente senza disservizi (attualmente, se INTRED si blocca, la rete crolla).

Per failover invece è banale, io uso i recursive gateway e ne uso due, usando ben noti e conosciuti DNS globali, così che se entrambi non rispondono, si ha la certezza che la connessione in oggetto è down
questo lo script che utilizzo io

/ip route
add comment="WAN-1 CHECK GOOGLE DNS - GATEWAY WAN-1 PUBLIC IP=XXXXXXXX" disabled=no \
    distance=11 dst-address=8.8.4.4/32 gateway=GW-XXXXXXX routing-table=main scope=10 target-scope=10
add check-gateway=ping comment="WAN-1 GATEWAY -> RECURSIVE CHECK GOOGLE DNS" disabled=no \
    distance=11 dst-address=0.0.0.0/0 gateway=8.8.4.4 routing-table=main scope=30 target-scope=11



add comment="WAN-1 CHECK OPENDNS - GATEWAY WAN-1 PUBLIC IP=XXXXXXXX" disabled=no \
    distance=12 dst-address=208.67.220.220/32 gateway=GW-XXXXXXXX routing-table=main scope=10 target-scope=10
add check-gateway=ping comment="WAN-1 GATEWAY -> RECURSIVE CHECK OPENDNS" disabled=no \
    distance=12 dst-address=0.0.0.0/0 gateway=208.67.220.220 routing-table=main scope=30 target-scope=11
   


add comment="WAN-2 FAILOVER - GATEWAY WAN-2" disabled=no distance=20 routing-table=main scope=30  target-scope=10 \
    dst-address=0.0.0.0/0 gateway=GW-WAN2-XXXXXXXXXX

3. Installazione del router Mikrotik L009UIGS-RM sulla rete INTRED per ottimizzare la gestione.

Il mikrotik devi metterlo in cascata a entrambe le connessioni, se vuoi far gestire il failover e/o il load balancing

4. Creazione di VLAN o, in alternativa, riorganizzazione della rete con sottoclassi per evitare congestioni.

non capisco cosa intendi per "congestioni" comunque per le VLAN ci sono le guide

Basic VLAN switching - RouterOS - MikroTik Documentation

help.mikrotik.com

Ora, chiaramente servono già delle buone conoscenze di RouterOS, se non le hai, non me la sento di consigliarti Mikrotik, se non hai un tecnico che lo consoca e sappia gestirtelo. Fai meglio a prendere un mini PC o simile con 3 porte ethernet e ci metti sopra Opnsense, lì puoi gestire balancing e failover in maniera molto banale, oltre a poter attivare funzionalità NGFW che un mikrotik non può avere essendo comunque dei router/firewall principalmente L3 (mentre funzionalità IPS/IDS vanno su L7)