[Соколов]

Привет всем.

Микротик. Два внешних интернет канала. Поверх них два впн (пптп) туннеля до корпоративного сервера с одним белым ip.

Как сделать что бы vpn туннели поднимались поверх отдельного (своего) внешнего канала?

Как сказать vpn интерфейсу - соединяйся с тем адресом, но через вот этот внешний интерфейс.

Указываю в интерфейсах адрес сервера. В таблице маршрутизации приоритетный какой ни будь один интерфейс и соответственно оба vpn соединяются через один внешний интернет канал.

Конечная цель использовать оба канала вместе для увеличения пропускной способности от сервера.

(внешние белые ip на микротике не сделать, оба интернета через нат провайдера).

Благодарю.

Изменено 23 мая, 2015 пользователем Соколов

[SOs]

Соколов

накидайте схемку с сервером, мт и прочим. Меньше слов, больше пользы.

Адресацию укажите тоже.

[Соколов]

SOs, спасибо за совет, добавил.

[adron2]

устанавливать второй vpn на ip 10.20.30.40 и дальше в манглах заворачиваете соединение к 10.20.30.40 в нужную таблицу маршрутизации с шлюзом по умолчанию через второй канал а затем в нате DNAT-ите 10.20.30.40 на ip своего сервера.

[Соколов]

Не получается. В mangle мечу(как заворачивать не понимаю) маршрут меткой, в таблице маршрутизации под этой меткой маршрут по умолчанию, но в nat по назначению 10.20.30.40 в dstnat ничего не приходит, байты не бегут.

Изменено 26 мая, 2015 пользователем Соколов

[Соколов]

Ребята, помогите пожалуйста, весь день ведь сижу на форуме.

[Saab95]

Сервер на чем?

Если подключаетесь к нему по белому адресу, ничего не выйдет. Вам нужно поставить 2 микротика, на каждом подключитесь к своей одной учетке, дальше поставите еще один микротик, который подключите к первым двум, с него уже и будете управлять потоками трафика через манглы, в качестве интерфейсов у вас будут 2 порта, которые подключены к двум первым микротикам.

 

Другой вариант использовать OSPF, тогда до сервера делаете туннель по серым адресам, себе на роутере вешаете белый IP и все само по себе заработает.

[Соколов]

Спасибо, сервер тоже на микротике. С двумя понятно, три наверное уже перебор.

Хотел с одним. В принципе получается по кривому, если скриптом разрешать один маршрут, соединяться, а затем включать другой и соединяться другим соединением. Контролировать момент случайного разъединения интерфейсов. Ну как то всё равно бе-е.

Конечная цель получить с сервера на удалённом микротике объединённый быстрый канал по двум медленным рвущимся за натом.

[Saab95]

Если у вас сервер микротик, просто включаете OSPF и ваш роутер обменяется маршрутами, далее добавляете правило

 

/routing filter
add chain=ospf-in prefix=0.0.0.0 prefix-length=0 set-routing-mark=SERVER

 

Вешаете на роутер сети вида 192.168.0.1/24

 

После в манглах заворачиваете трафик с вашей подсети в маркировку SERVER и готово, НАТ не делаете, его должен делать ваш удаленный сервер. В этом случае часть запросов на одни ресурсы пойдет по одному каналу, часть по второму. Если один канал отключится, трафик пойдет по оставшемуся.

 

Если просто хотите равномерно разделить трафик по каналам, то можно обойтись без OSPF, просто создав 2 учетной записи с разными remote и local адресами, со стороны сервера создадите маршрут на вашу 192.168.0.0/24, указав в качестве шлюза например 10.10.10.2 и 10.10.11.2, а со стороны удаленного роутера маршрут на 0.0.0.0/0 с маркировкой SERVER на шлюзы 10.10.10.1 и 10.10.11.1

[adron2]

Не получается. В mangle мечу(как заворачивать не понимаю) маршрут меткой, в таблице маршрутизации под этой меткой маршрут по умолчанию, но в nat по назначению 10.20.30.40 в dstnat ничего не приходит, байты не бегут.

 

покажите правила фаервола которые у вас в итоге получились.

их получить можно через /ip filrewall export compact в консоли

работать обязано как я написал. в нутрях тика обычный iptables. я на нем так делал.

 

и исходя из картинки что я вам выше писал вам нужно чтобы мангл был в prerouting !

это очень важно! а нат делать в dst-nat и должно получиться.

[Соколов]

выше писал вам нужно чтобы мангл был в prerouting

Такое наверное должно работать, если впн соединения созданы на любом внешнем устройстве, воткнутом в микротик, но не в случае если впн-ка на этом же микротике. Цепочка для маркировки работает только out.

 

Saab95

У меня сервер(микротик) с одним белым ip и удалённый микротик с двумя каналами в интернет через 2 оператора с нат.

Если я подниму пптп туннель с удалённого на сервер и включю везде OSPF разве будет обмен маршрутами?

Изменено 26 мая, 2015 пользователем Соколов

[adron2]

выше писал вам нужно чтобы мангл был в prerouting

Такое наверное должно работать, если впн соединения созданы на любом внешнем устройстве, воткнутом в микротик, но не в случае если впн-ка на этом же микротике. Цепочка для маркировки работает только out.

 

Saab95

У меня сервер(микротик) с одним белым ip и удалённый микротик с двумя каналами в интернет через 2 оператора с нат.

Если я подниму пптп туннель с удалённого на сервер и включю везде OSPF разве будет обмен маршрутами?

 

Видимо в микротике это сломано и хотя там iptables но по аналогии с обычным linux-ом сделать не получится.

[Saab95]

У меня сервер(микротик) с одним белым ip и удалённый микротик с двумя каналами в интернет через 2 оператора с нат.

Если я подниму пптп туннель с удалённого на сервер и включю везде OSPF разве будет обмен маршрутами?

 

Почему же не будет, достаточно в Routing-OSPF на вкладке Network указать подсеть или подсети, по которым соединяются туннели, в настройках OSPF включить анонс дефолтного маршрута, на удаленном микротике выключить нат, однако создав правило ната на основном, что бы та удаленная подсеть, которая на нем будет заведена, могла иметь доступ в интернет. Дальше маркируете пакеты в манглах и заворачиваете их в туннель, другой вариант не указываете дефолт в сторону интернет провайдера, а указываете в маршрутах только белый адрес вашего микротика и шлюз - адрес провайдера, в этом случае будет работать и без маркировки пакетов.