Jump to content
Калькуляторы

Два канала, два тунэля, один IP

Привет всем.

Микротик. Два внешних интернет канала. Поверх них два впн (пптп) туннеля до корпоративного сервера с одним белым ip.

Как сделать что бы vpn туннели поднимались поверх отдельного (своего) внешнего канала?

Как сказать vpn интерфейсу - соединяйся с тем адресом, но через вот этот внешний интерфейс.

Указываю в интерфейсах адрес сервера. В таблице маршрутизации приоритетный какой ни будь один интерфейс и соответственно оба vpn соединяются через один внешний интернет канал.

Конечная цель использовать оба канала вместе для увеличения пропускной способности от сервера.

(внешние белые ip на микротике не сделать, оба интернета через нат провайдера).

f649ec1b5a93.png

Благодарю.

Edited by Соколов

Share this post


Link to post
Share on other sites

Соколов

накидайте схемку с сервером, мт и прочим. Меньше слов, больше пользы.

Адресацию укажите тоже.

Share this post


Link to post
Share on other sites

устанавливать второй vpn на ip 10.20.30.40 и дальше в манглах заворачиваете соединение к 10.20.30.40 в нужную таблицу маршрутизации с шлюзом по умолчанию через второй канал а затем в нате DNAT-ите 10.20.30.40 на ip своего сервера.

tables%5Ftraverse.jpg

Share this post


Link to post
Share on other sites

Не получается. В mangle мечу(как заворачивать не понимаю) маршрут меткой, в таблице маршрутизации под этой меткой маршрут по умолчанию, но в nat по назначению 10.20.30.40 в dstnat ничего не приходит, байты не бегут.

Edited by Соколов

Share this post


Link to post
Share on other sites

Сервер на чем?

Если подключаетесь к нему по белому адресу, ничего не выйдет. Вам нужно поставить 2 микротика, на каждом подключитесь к своей одной учетке, дальше поставите еще один микротик, который подключите к первым двум, с него уже и будете управлять потоками трафика через манглы, в качестве интерфейсов у вас будут 2 порта, которые подключены к двум первым микротикам.

 

Другой вариант использовать OSPF, тогда до сервера делаете туннель по серым адресам, себе на роутере вешаете белый IP и все само по себе заработает.

Share this post


Link to post
Share on other sites

Спасибо, сервер тоже на микротике. С двумя понятно, три наверное уже перебор.

Хотел с одним. В принципе получается по кривому, если скриптом разрешать один маршрут, соединяться, а затем включать другой и соединяться другим соединением. Контролировать момент случайного разъединения интерфейсов. Ну как то всё равно бе-е.

Конечная цель получить с сервера на удалённом микротике объединённый быстрый канал по двум медленным рвущимся за натом.

Share this post


Link to post
Share on other sites

Если у вас сервер микротик, просто включаете OSPF и ваш роутер обменяется маршрутами, далее добавляете правило

 

/routing filter
add chain=ospf-in prefix=0.0.0.0 prefix-length=0 set-routing-mark=SERVER

 

Вешаете на роутер сети вида 192.168.0.1/24

 

После в манглах заворачиваете трафик с вашей подсети в маркировку SERVER и готово, НАТ не делаете, его должен делать ваш удаленный сервер. В этом случае часть запросов на одни ресурсы пойдет по одному каналу, часть по второму. Если один канал отключится, трафик пойдет по оставшемуся.

 

Если просто хотите равномерно разделить трафик по каналам, то можно обойтись без OSPF, просто создав 2 учетной записи с разными remote и local адресами, со стороны сервера создадите маршрут на вашу 192.168.0.0/24, указав в качестве шлюза например 10.10.10.2 и 10.10.11.2, а со стороны удаленного роутера маршрут на 0.0.0.0/0 с маркировкой SERVER на шлюзы 10.10.10.1 и 10.10.11.1

Share this post


Link to post
Share on other sites

Не получается. В mangle мечу(как заворачивать не понимаю) маршрут меткой, в таблице маршрутизации под этой меткой маршрут по умолчанию, но в nat по назначению 10.20.30.40 в dstnat ничего не приходит, байты не бегут.

 

покажите правила фаервола которые у вас в итоге получились.

их получить можно через /ip filrewall export compact в консоли

работать обязано как я написал. в нутрях тика обычный iptables. я на нем так делал.

 

и исходя из картинки что я вам выше писал вам нужно чтобы мангл был в prerouting !

это очень важно! а нат делать в dst-nat и должно получиться.

Share this post


Link to post
Share on other sites

выше писал вам нужно чтобы мангл был в prerouting

Такое наверное должно работать, если впн соединения созданы на любом внешнем устройстве, воткнутом в микротик, но не в случае если впн-ка на этом же микротике. Цепочка для маркировки работает только out.

 

Saab95

У меня сервер(микротик) с одним белым ip и удалённый микротик с двумя каналами в интернет через 2 оператора с нат.

Если я подниму пптп туннель с удалённого на сервер и включю везде OSPF разве будет обмен маршрутами?

Edited by Соколов

Share this post


Link to post
Share on other sites

выше писал вам нужно чтобы мангл был в prerouting

Такое наверное должно работать, если впн соединения созданы на любом внешнем устройстве, воткнутом в микротик, но не в случае если впн-ка на этом же микротике. Цепочка для маркировки работает только out.

 

Saab95

У меня сервер(микротик) с одним белым ip и удалённый микротик с двумя каналами в интернет через 2 оператора с нат.

Если я подниму пптп туннель с удалённого на сервер и включю везде OSPF разве будет обмен маршрутами?

 

Видимо в микротике это сломано и хотя там iptables но по аналогии с обычным linux-ом сделать не получится.

Share this post


Link to post
Share on other sites

У меня сервер(микротик) с одним белым ip и удалённый микротик с двумя каналами в интернет через 2 оператора с нат.

Если я подниму пптп туннель с удалённого на сервер и включю везде OSPF разве будет обмен маршрутами?

 

Почему же не будет, достаточно в Routing-OSPF на вкладке Network указать подсеть или подсети, по которым соединяются туннели, в настройках OSPF включить анонс дефолтного маршрута, на удаленном микротике выключить нат, однако создав правило ната на основном, что бы та удаленная подсеть, которая на нем будет заведена, могла иметь доступ в интернет. Дальше маркируете пакеты в манглах и заворачиваете их в туннель, другой вариант не указываете дефолт в сторону интернет провайдера, а указываете в маршрутах только белый адрес вашего микротика и шлюз - адрес провайдера, в этом случае будет работать и без маркировки пакетов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this