Vadevil Posted June 23, 2015 · Report post Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал. Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей? Конфигурация центрального роутера: # jun/23/2015 10:17:30 by RouterOS 6.28 # /interface bridge add name=wan-1.1.1 /interface ethernet set [ find default-name=ether1 ] name=1-WAN-1.1.1.2 set [ find default-name=ether2 ] name=2-WAN-2.2.2.2 set [ find default-name=ether5 ] name=5-ASA-TMG set [ find default-name=ether11 ] name=11-WAN-1.1.1 set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /interface bridge port add bridge=wan-1.1.1 interface=11-WAN-1.1.1 add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2 /ip address add address=172.16.1.1/24 comment="default configuration" interface=\ 12-LAN-172.16.1.0/24 network=172.16.1.0 add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0 add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\ 1.1.1.120 add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\ 2.2.2.120 /ip dns set servers=8.8.8.8 /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add chain=input connection-state=established add chain=input connection-state=related add chain=input protocol=icmp add chain=input in-interface=12-LAN-172.16.1.0/24 add chain=input in-interface=5-ASA-TMG add action=drop chain=input /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip firewall nat /ip ipsec peer add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 1.1.1.2 src-address=172.16.1.0/24 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=10.0.0.0/8 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=192.168.0.0/16 tunnel=yes /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1 Конфигурация удаленного объекта: /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip address add address=10.3.8.1/24 comment="default configuration" interface=\ bridge-local network=10.3.8.0 add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\ PASSWORD add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\ 3.3.3.2 src-address=10.3.8.0/24 tunnel=yes /ip route add distance=1 gateway=3.3.3.1 Share this post Link to post Share on other sites
DRiVen Posted June 23, 2015 · Report post Показывайте конфиг третьего роутера, R0SRV03. Share this post Link to post Share on other sites
Vadevil Posted June 23, 2015 · Report post Показывайте конфиг третьего роутера, R0SRV03. а там и показывать нечего) циска на который прописана статика, какие подсети за каким интерфейсом сидят. Share this post Link to post Share on other sites
Saab95 Posted June 24, 2015 · Report post Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC. Share this post Link to post Share on other sites
Vadevil Posted June 25, 2015 (edited) · Report post Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC. без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют. не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы. подозреваю, что проблема на центральном микротике в этих строчках: \ /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1 получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному. еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические. Edited June 25, 2015 by Vadevil Share this post Link to post Share on other sites
Saab95 Posted June 25, 2015 · Report post Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики. Share this post Link to post Share on other sites
Vadevil Posted June 25, 2015 · Report post Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики. мешанина вендоров не причем, проприетарные протоколы не используются. по остальным протоколам, всё друг с другом вполне нормально работает. у меня конкретная ситуация с микротиком и двумя wan подключениями и прохождением через них двух тоннелей от одного клиента, прошу помочь в этом вопросе) Share this post Link to post Share on other sites
user71 Posted June 25, 2015 · Report post отвечает он по wan1-out и wan2-out. а вот на выход через wan-85. второй не активен считай не работает. попробуйте явно указать через что ходить до этих двух адресов Share this post Link to post Share on other sites
user71 Posted June 25, 2015 · Report post Saab95 у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %) Share this post Link to post Share on other sites
Night_Snake Posted June 26, 2015 · Report post Выкиньте микротик и поставьте ASA или SRX. Микротик и IPSec совместимы плохо и недолго. Share this post Link to post Share on other sites
Vadevil Posted June 26, 2015 · Report post user71, на центральном роутере 2 внешних адреса, а на клиентском только один, как явно указать? тоже склоняюсь что проблема с маршрутами, но какая? ) Night_Snake, а на асах такую схему возможно реализовать? то есть сможет ли asa5505 работать с двумя провайдерами, поддерживая одновременно два vpn канала с одним клиентом? Share this post Link to post Share on other sites
user71 Posted June 26, 2015 · Report post как вы их различаете так и указываете. То что идет с одной подсети метите в wan1-out c другой в wan2-out. критерий dst-address не единственый %) Выкиньте микротик и поставьте ASA или SRX. Микротик и IPSec совместимы плохо и недолго. вроде работает и не жалуется. В чем заключается плохая совместимость? Share this post Link to post Share on other sites
Saab95 Posted June 26, 2015 · Report post Saab95 у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %) Поднимите на одном интернет, а на втором настройте шейпер. Share this post Link to post Share on other sites
user71 Posted June 26, 2015 · Report post шейпер уже есть. кстати о шейпере есть идеи как выдать каждой сессии равную скорость? Share this post Link to post Share on other sites
Night_Snake Posted July 14, 2015 · Report post вроде работает и не жалуется. В чем заключается плохая совместимость? Возможны подземные стуки при апгреде RoS, например. Пропадание SA и т.д. Share this post Link to post Share on other sites