Vadevil

user71, на центральном роутере 2 внешних адреса, а на клиентском только один, как явно указать? тоже склоняюсь что проблема с маршрутами, но какая? ) Night_Snake, а на асах такую схему возможно реализовать? то есть сможет ли asa5505 работать с двумя провайдерами, поддерживая одновременно два vpn канала с одним клиентом?

мешанина вендоров не причем, проприетарные протоколы не используются. по остальным протоколам, всё друг с другом вполне нормально работает. у меня конкретная ситуация с микротиком и двумя wan подключениями и прохождением через них двух тоннелей от одного клиента, прошу помочь в этом вопросе)

без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют. не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы. подозреваю, что проблема на центральном микротике в этих строчках: \ /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1 получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному. еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические.

а там и показывать нечего) циска на который прописана статика, какие подсети за каким интерфейсом сидят.

Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал. Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей? Конфигурация центрального роутера: # jun/23/2015 10:17:30 by RouterOS 6.28 # /interface bridge add name=wan-1.1.1 /interface ethernet set [ find default-name=ether1 ] name=1-WAN-1.1.1.2 set [ find default-name=ether2 ] name=2-WAN-2.2.2.2 set [ find default-name=ether5 ] name=5-ASA-TMG set [ find default-name=ether11 ] name=11-WAN-1.1.1 set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /interface bridge port add bridge=wan-1.1.1 interface=11-WAN-1.1.1 add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2 /ip address add address=172.16.1.1/24 comment="default configuration" interface=\ 12-LAN-172.16.1.0/24 network=172.16.1.0 add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0 add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\ 1.1.1.120 add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\ 2.2.2.120 /ip dns set servers=8.8.8.8 /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add chain=input connection-state=established add chain=input connection-state=related add chain=input protocol=icmp add chain=input in-interface=12-LAN-172.16.1.0/24 add chain=input in-interface=5-ASA-TMG add action=drop chain=input /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip firewall nat /ip ipsec peer add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 1.1.1.2 src-address=172.16.1.0/24 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=10.0.0.0/8 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=192.168.0.0/16 tunnel=yes /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1 Конфигурация удаленного объекта: /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip address add address=10.3.8.1/24 comment="default configuration" interface=\ bridge-local network=10.3.8.0 add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\ PASSWORD add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\ 3.3.3.2 src-address=10.3.8.0/24 tunnel=yes /ip route add distance=1 gateway=3.3.3.1