Vadevil Опубликовано 23 июня, 2015 Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал. Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей? Конфигурация центрального роутера: # jun/23/2015 10:17:30 by RouterOS 6.28 # /interface bridge add name=wan-1.1.1 /interface ethernet set [ find default-name=ether1 ] name=1-WAN-1.1.1.2 set [ find default-name=ether2 ] name=2-WAN-2.2.2.2 set [ find default-name=ether5 ] name=5-ASA-TMG set [ find default-name=ether11 ] name=11-WAN-1.1.1 set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /interface bridge port add bridge=wan-1.1.1 interface=11-WAN-1.1.1 add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2 /ip address add address=172.16.1.1/24 comment="default configuration" interface=\ 12-LAN-172.16.1.0/24 network=172.16.1.0 add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0 add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\ 1.1.1.120 add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\ 2.2.2.120 /ip dns set servers=8.8.8.8 /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add chain=input connection-state=established add chain=input connection-state=related add chain=input protocol=icmp add chain=input in-interface=12-LAN-172.16.1.0/24 add chain=input in-interface=5-ASA-TMG add action=drop chain=input /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip firewall nat /ip ipsec peer add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 1.1.1.2 src-address=172.16.1.0/24 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=10.0.0.0/8 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=192.168.0.0/16 tunnel=yes /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1 Конфигурация удаленного объекта: /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip address add address=10.3.8.1/24 comment="default configuration" interface=\ bridge-local network=10.3.8.0 add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\ PASSWORD add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\ 3.3.3.2 src-address=10.3.8.0/24 tunnel=yes /ip route add distance=1 gateway=3.3.3.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 23 июня, 2015 Показывайте конфиг третьего роутера, R0SRV03. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadevil Опубликовано 23 июня, 2015 Показывайте конфиг третьего роутера, R0SRV03. а там и показывать нечего) циска на который прописана статика, какие подсети за каким интерфейсом сидят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 июня, 2015 Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadevil Опубликовано 25 июня, 2015 (изменено) Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC. без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют. не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы. подозреваю, что проблема на центральном микротике в этих строчках: \ /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1 получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному. еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические. Изменено 25 июня, 2015 пользователем Vadevil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 июня, 2015 Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadevil Опубликовано 25 июня, 2015 Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики. мешанина вендоров не причем, проприетарные протоколы не используются. по остальным протоколам, всё друг с другом вполне нормально работает. у меня конкретная ситуация с микротиком и двумя wan подключениями и прохождением через них двух тоннелей от одного клиента, прошу помочь в этом вопросе) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 25 июня, 2015 отвечает он по wan1-out и wan2-out. а вот на выход через wan-85. второй не активен считай не работает. попробуйте явно указать через что ходить до этих двух адресов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 25 июня, 2015 Saab95 у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 июня, 2015 Выкиньте микротик и поставьте ASA или SRX. Микротик и IPSec совместимы плохо и недолго. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadevil Опубликовано 26 июня, 2015 user71, на центральном роутере 2 внешних адреса, а на клиентском только один, как явно указать? тоже склоняюсь что проблема с маршрутами, но какая? ) Night_Snake, а на асах такую схему возможно реализовать? то есть сможет ли asa5505 работать с двумя провайдерами, поддерживая одновременно два vpn канала с одним клиентом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 26 июня, 2015 как вы их различаете так и указываете. То что идет с одной подсети метите в wan1-out c другой в wan2-out. критерий dst-address не единственый %) Выкиньте микротик и поставьте ASA или SRX. Микротик и IPSec совместимы плохо и недолго. вроде работает и не жалуется. В чем заключается плохая совместимость? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 июня, 2015 Saab95 у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %) Поднимите на одном интернет, а на втором настройте шейпер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 26 июня, 2015 шейпер уже есть. кстати о шейпере есть идеи как выдать каждой сессии равную скорость? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 14 июля, 2015 вроде работает и не жалуется. В чем заключается плохая совместимость? Возможны подземные стуки при апгреде RoS, например. Пропадание SA и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...