Tutorial
تجاوز فشل WAN المزدوج لمزودي ISP
كيفية بناء تجاوز فشل MikroTik WAN المزدوج موثوق لأسطول ISP: التوجيه التكراري وNetwatch وNAT لكل WAN وزمن التبديل والتحقق عن بُعد.
الملخّص تجاوز فشل WAN المزدوج من MikroTik يُبقي الموقع متصلًا بنقل الحركة تلقائيًا إلى وصلة نسخ احتياطي عند فشل الوصلة الأساسية. يمنحك RouterOS ثلاث لبنات أساسية — التوجيه التكراري مع check-gateway وNetwatch وNAT لكل WAN — والمزيج الصحيح يعتمد على مدى السرعة والذكاء المطلوبين في الكشف لديك. بالنسبة لأساطيل ISP، فإن المشكلة الأصعب ليست مقطع التهيئة بل التأكيد، عبر مئات المواقع البعيدة خلف CGNAT، من أن التجاوز قد عمل فعلًا. يغطّي هذا الدليل الأمرين معًا.

ما هو تجاوز فشل WAN المزدوج من MikroTik؟
تجاوز فشل WAN المزدوج من MikroTik هو تهيئة RouterOS تمنح الموجّه وصلتي إنترنت — أساسية ونسخ احتياطي — وتنقل الحركة تلقائيًا إلى النسخ الاحتياطي عندما تتوقف الوصلة الأساسية عن تمرير الحزم، ثم تعيدها عند التعافي. وهي ليست مثل موازنة الحمل: التجاوز يُبقي وصلة واحدة خاملة كتأمين، بينما توزّع موازنة الحمل الحركة عبر الاثنتين. الهدف هو الاستمرارية، لا عرض نطاق إضافي، ولهذا فهو نمط التكرار الافتراضي للمواقع التي لا يمكنها ببساطة أن تنقطع.
تعتمد الآلية على اختيار المسار. يختار RouterOS المسار الافتراضي النشط حسب أقل مسافة إدارية، فتمنح الأساسية مسافة أصغر والنسخ الاحتياطي مسافة أكبر. يتلخّص التصميم بأكمله عندئذٍ في سؤال واحد: كيف يقرّر الموجّه أن الأساسية “معطّلة” ويخفض مسارها؟ اضبط هذا القرار بشكل صحيح — سريعًا بما يكفي لكن دون عصبية — ويصبح التجاوز موثوقًا. أخطئ فيه فإمّا أن تتجاوز ببطء شديد أو ترتجف بين الوصلتين مع كل حزمة مفقودة.
الخطوة 1 — ارسم خريطة وصلتي WAN قبل أن تلمس أي مسار
ابدأ بتدوين ما هي كل وصلة فعلًا. تتصرّف وصلة أساسية ثابتة من ألياف ضوئية أو PPPoE ذات بوابة ثابتة أو مُسندة عبر PPP بشكل مختلف عن نسخ احتياطي Starlink أو LTE يقع خلف Carrier-Grade NAT ويمنحك عنوانًا ديناميكيًا. وهذا مهم لأن التوجيه التكراري يعمل فقط مع بوابات IP مستقرة، وليس مع أنواع الواجهات الديناميكية مثل PPPoE أو DHCP حيث يمكن أن يتغيّر العنوان (وثائق MikroTik — Failover (WAN Backup)). قرِّر أي وصلة أساسية وأيها نسخ احتياطي، وما إذا كانت أيٌّ منهما تغيّر عنوان IP عند إعادة الاتصال — هذه الحقيقة الواحدة تُملي طريقة الكشف التي يمكنك استخدامها.
الخطوة 2 — أضِف مسارات افتراضية تكرارية مع check-gateway
يستخدم النهج الكلاسيكي التوجيه التكراري: بدلًا من توجيه المسار الافتراضي مباشرةً إلى القفزة التالية، توجّهه إلى هدف فحص (مثل مُحلّل عام معروف) وتضيف مسارًا ثابتًا يُخبر RouterOS بالوصول إلى ذلك الهدف عبر بوابة WAN محددة فقط. ثم تنشئ مسارين افتراضيين يُحلّان تكراريًا عبر تلك الأهداف — الأساسي بمسافة أصغر مع تفعيل check-gateway=ping، والنسخ الاحتياطي بمسافة أكبر (Scoop — Basic ISP Failover with MikroTik).
السلوك الذي يجب التخطيط حوله هو التوقيت. يُعطّل check-gateway المسار بعد فحصين فاشلين متتاليين، وتُجرى الفحوص كل 10 ثوانٍ تقريبًا، فيحدث التبديل الفعلي حول 20 إلى 30 ثانية — ولا يتفاعل مع فقدان الحزم المتقطّع، بل فقط مع بوابة ميتة تمامًا (وثائق MikroTik — Failover (WAN Backup)). بالنسبة للعديد من مواقع عملاء ISP يكون هذا مقبولًا. أما لطرفيات الصوت أو الدفع فغالبًا لا، وهنا يأتي دور الخطوة 4.
الخطوة 3 — اضبط NAT لكلتا الوصلتين
يحتاج موجّه WAN المزدوج إلى قاعدة masquerade (أو src-nat) منفصلة لكل واجهة WAN حتى تترجم الوصلة النشطة الحركة الصادرة بشكل صحيح؛ فقاعدة واحدة مرتبطة بواجهة واحدة ستكسر الاتصال بصمت في اللحظة التي ينقل فيها التجاوز الحركة إلى الوصلة الأخرى. أضِف قاعدة masquerade واحدة في سلسلة srcnat لواجهة out-interface الأساسية وثانية للنسخ الاحتياطي. وإذا نشرت أي خدمات واردة، تذكّر أن قواعد dst-nat المرتبطة بعنوان الوصلة الأساسية تتوقف عن العمل بمجرد اختفاء تلك الوصلة — وعنوان IP العام الخاص بها. هذه الهشاشة الواردة هي نفس الفخ المعماري الذي تتناوله حالة تغيّرات عنوان IP في Starlink، ولهذا يتوسّع الوصول المُرتكِز على الصادر بشكل أفضل من إعادة توجيه المنافذ. لأساسيات NAT، راجع دليلنا لضبط NAT على MikroTik.
الخطوة 4 — استخدم Netwatch عندما تحتاج كشفًا أسرع أو أذكى
عندما تكون 20–30 ثانية بطيئة جدًا أو تحتاج للتصرّف بشأن وصلات متدهورة-لكن-حية، يكون Netwatch الأداة الأكثر مرونة. في RouterOS v7، حصل Netwatch على معامل type يمكنه الفحص بـ icmp أو tcp-conn أو http-get أو https-get أو simple، ويمكنك ضبط فاصل الفحص الخاص بك بدلًا من التعايش مع وتيرة check-gateway الثابتة (وثائق MikroTik — Failover (WAN Backup)). لكل مضيف سكربت up وسكربت down، فيمكنك تعطيل المسار الافتراضي الأساسي أو إطلاق تنبيه أو تسجيل الحدث عند الانتقال.
يجمع كثير من المشغّلين بين الاثنين: التوجيه التكراري يتعامل مع موت الوصلة النظيف، بينما يغطّي Netwatch الحالات الأكثر فوضوية ويرسل الإشعارات. هناك سلسلة مجتمعية طويلة تناقش هذه المفاضلة بالضبط وتستحق القراءة قبل أن توحّد طريقة واحدة عبر الأسطول (منتدى MikroTik — netwatch instead of recursive routing). أيًّا كان اختيارك، أبقِ التهيئة متطابقة في كل موقع — فأسطول من سكربتات التجاوز المخصّصة هو بحد ذاته انقطاع ينتظر الحدوث.
الخطوة 5 — تحقّق من التجاوز في كل موقع بعيد
هنا الجزء الذي تتخطّاه دروس التهيئة. إضافة المسارات على موجّه مختبري أمر سهل؛ أما إثبات أن التجاوز يعمل على مئات أجهزة CPE المنشورة فهو مشكلة ISP الحقيقية — ويزداد صعوبة عندما تكون وصلة النسخ الاحتياطي Starlink أو LTE خلف CGNAT، لأن الجهاز غالبًا لا يملك عنوان IP عامًا يمكن الوصول إليه لإدارته بعد التجاوز. إذا كنت لا تستطيع تأكيد التجاوز إلا بانتظار اتصال عميل، فأنت لا تملك تجاوزًا حقيقيًا؛ بل تملك سكربتًا تأمل أن يعمل.
هنا يغيّر الإدارة المركزية الجدوى الاقتصادية. يُبقي MKController كل موجّه قابلًا للوصول عبر نفق صادر مُصادَق عليه، فيمكنك تأكيد أن مسار النسخ الاحتياطي يحمل الحركة، ومراقبة انتقال التجاوز في المراقبة، ودفع تهيئة مصحّحة — دون الاعتماد على عنوان IP عام قد لا يكون موجودًا على وصلة النسخ الاحتياطي. اقرن ذلك بالقياس عن بُعد: يوضّح دليلانا حول مراقبة MikroTik عن بُعد باستخدام Zabbix ومراقبة SNMP لـ MikroTik كيفية التنبيه على حدث التجاوز نفسه، حتى لا يمرّ تبديل صامت إلى وصلة النسخ الاحتياطي المكلفة دون ملاحظة.
نصائح
- أبقِ فحص
check-gatewayلوصلة النسخ الاحتياطي موجّهًا إلى هدف تصل إليه عبر تلك الوصلة، لا عبر الأساسية، وإلا أصبح اختبارك بلا معنى. - علّم انتقالات التجاوز في مراقبتك حتى يُطلق موقع يعمل أيامًا على وصلة نسخه الاحتياطي تذكرة — فالتجاوز الذي لا يلاحظه أحد كلفة متكرّرة، لا إنقاذًا.
- اختبر الكابل الفعلي، لا المسار فقط: انزع موصّل الوصلة الأساسية وقِس زمن التبديل الحقيقي.
اجعل التجاوز تحت مستوى تحكّم واحد
تجاوز فشل WAN المزدوج على MikroTik واحد مشكلة محلولة. أما القيام به بموثوقية عبر أسطول — بتهيئة متّسقة والقدرة على إثبات أن النسخ الاحتياطي يعمل على موجّه لا يمكنك الوصول إليه عبر عنوان IP عام — فهو حيث يخسر معظم المشغّلين المال. الإدارة المركزية المُرتكِزة على الصادر تسدّ تلك الفجوة.