Содержание

Настройка Policy Routing

Подготовка

Перед конфигурацией, необходимо выяснить какие из аплинков используют блокировку по IP. Через них не будет работать фильтрация по URL, соответственно их нужно исключить из конфигурации.

Если все аплинки используют блокировку по IP, то можно использовать дополнительный proxy сервер находящийся за пределами РФ. При необходимости мы можем предоставить доступ к своему proxy серверу (пришлите запрос на info@cyberfilter.ru).

Оборудование Cisco

Обычные IOS (работа через несколько аплинков)

track 1 rtr 1 reachability

track 2 rtr 2 reachability

ip sla 1
 icmp-echo <<IP адрес аплинка 1>> source-ip <<ваш IP с интерфейса в вашу сеть>>
 timeout 2000
 threshold 2
 frequency 3

ip sla schedule 1 life forever start-time now

ip sla 2
 icmp-echo <<IP адрес аплинка 2>> source-ip <<ваш IP с интерфейса в вашу сеть>>
 timeout 2000
 threshold 2
 frequency 3

ip sla schedule 2 life forever start-time now

ip access-list extended CFProxy
 deny ip host <<адрес proxy>> <<ваша сеть 1>>
 deny ip host <<адрес proxy>> <<ваша сеть 2>>
 deny ip host <<адрес proxy>> <<ваша сеть N>>
 deny ip host <<адрес proxy>> 198.51.100.0/24
 permit ip host <<адрес proxy>> any
 deny any any

route-map CFProxy permit 10
 match ip address CFProxy
 set ip next-hop verify-availability <<IP адрес аплинка 1>> 10 track 1
 set ip next-hop verify-availability <<IP адрес аплинка 2>> 20 track 2

interface Proxy
 ip policy route-map CFProxy

Старые IOS (работа только через 1 аплинк)

ip access-list extended CFProxy
 deny ip host <<адрес proxy>> <<ваша сеть 1>>
 deny ip host <<адрес proxy>> <<ваша сеть 2>>
 deny ip host <<адрес proxy>> <<ваша сеть N>>
 deny ip host <<адрес proxy>> 198.51.100.0/24
 permit ip host <<адрес proxy>> any
 deny any any

route-map CFProxy permit 10
 match ip address CFProxy
 set ip next-hop <<ip адрес аплинка>>

interface Proxy
 ip policy route-map CFProxy

IOS XR (работа через несколько аплинков)

ipsla
operation 1
  type icmp echo
  source address <<ваш IP с интерфейса в вашу сеть>>
  destination address <<IP адрес аплинка 1>>
operation 2
  type icmp echo
  source address <<ваш IP с интерфейса в вашу сеть>>
  destination address <<IP адрес аплинка 2>>
schedule operation 1
  start-time now
  life forever
schedule operation 2
  start-time now
  life forever 

track 1
  type rtr 1 reachability
track 2
  type rtr 2 reachability

ipv4 access-list CFProxy
10 permit ipv4 host <<адрес proxy>> <<ваша сеть 1>>
20 permit ipv4 host <<адрес proxy>> <<ваша сеть 2>>
NN permit ipv4 host <<адрес proxy>> <<ваша сеть N>>
NN+10 permit ipv4 host <<адрес proxy>> 198.51.100.0/24
NN+20 permit ipv4 any any nexthop1 track 1 ipv4 <<IP адрес аплинка 1>>
NN+30 permit ipv4 any any nexthop1 track 2 ipv4 <<IP адрес аплинка 2>>

interface Proxy
 ipv4 access-group CFProxy in

Оборудование MikroTik

RouterOS 6.10 (работа через несколько аплинков)

/ip firewall address-list
add address=<<ваша сеть 1>> list=ASxxxx
add address=<<ваша сеть 2>> list=ASxxxx
add address=<<ваша сеть N>> list=ASxxxx
add address=198.51.100.0/24 list=ASxxxx
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=ASxxxx in-interface=<<интерфейс proxy>> new-routing-mark=main src-address=<<адрес proxy>>
add chain=prerouting dst-address-list=ASxxxx in-interface=<<интерфейс proxy>> src-address=<<адрес proxy>>
add action=mark-routing chain=prerouting in-interface=<<интерфейс proxy>> new-routing-mark=CFRoute src-address=<<адрес proxy>>
/ip route
add check-gateway=arp distance=1 gateway=<<IP адрес аплинка 1>> routing-mark=CFRoute
add check-gateway=arp distance=2 gateway=<<IP адрес аплинка 2>> routing-mark=CFRoute
/ip route rule
add action=lookup-only-in-table routing-mark=main table=main
add action=lookup-only-in-table routing-mark=CFRoute table=CFRoute