[Vadevil]

Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал.

Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей?

 

 

 

Конфигурация центрального роутера:

# jun/23/2015 10:17:30 by RouterOS 6.28
#
/interface bridge
add name=wan-1.1.1
/interface ethernet
set [ find default-name=ether1 ] name=1-WAN-1.1.1.2
set [ find default-name=ether2 ] name=2-WAN-2.2.2.2
set [ find default-name=ether5 ] name=5-ASA-TMG
set [ find default-name=ether11 ] name=11-WAN-1.1.1
set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/interface bridge port
add bridge=wan-1.1.1 interface=11-WAN-1.1.1
add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2
/ip address
add address=172.16.1.1/24 comment="default configuration" interface=\
   12-LAN-172.16.1.0/24 network=172.16.1.0
add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0
add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\
   1.1.1.120
add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\
   2.2.2.120
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input protocol=icmp
add chain=input in-interface=12-LAN-172.16.1.0/24
add chain=input in-interface=5-ASA-TMG
add action=drop chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
   new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
   new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
   new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
   new-routing-mark=wan1-out passthrough=no
/ip firewall nat
/ip ipsec peer
add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
   PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   1.1.1.2 src-address=172.16.1.0/24 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   2.2.2.2 src-address=10.0.0.0/8 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   2.2.2.2 src-address=192.168.0.0/16 tunnel=yes
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1

 

Конфигурация удаленного объекта:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/ip address
add address=10.3.8.1/24 comment="default configuration" interface=\
   bridge-local network=10.3.8.0
add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180
/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\
   PASSWORD
add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
   PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \
   sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \
   sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\
   3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
/ip route
add distance=1 gateway=3.3.3.1

[DRiVen]

Показывайте конфиг третьего роутера, R0SRV03.

[Vadevil]

Показывайте конфиг третьего роутера, R0SRV03.

 

а там и показывать нечего) циска на который прописана статика, какие подсети за каким интерфейсом сидят.

[Saab95]

Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC.

[Vadevil]

Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC.

без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют.

 

не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы.

 

подозреваю, что проблема на центральном микротике в этих строчках:

\
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
   new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
   new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
   new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
   new-routing-mark=wan1-out passthrough=no
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1

 

получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному.

 

еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические.

Edited June 25, 2015 by Vadevil

[Saab95]

Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики.

[Vadevil]

Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики.

 

мешанина вендоров не причем, проприетарные протоколы не используются. по остальным протоколам, всё друг с другом вполне нормально работает.

 

у меня конкретная ситуация с микротиком и двумя wan подключениями и прохождением через них двух тоннелей от одного клиента, прошу помочь в этом вопросе)

[user71]

отвечает он по wan1-out и wan2-out. а вот на выход через wan-85. второй не активен считай не работает. попробуйте явно указать через что ходить до этих двух адресов

[user71]

Saab95

у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %)

[Night_Snake]

Выкиньте микротик и поставьте ASA или SRX.

Микротик и IPSec совместимы плохо и недолго.

[Vadevil]

user71, на центральном роутере 2 внешних адреса, а на клиентском только один, как явно указать? тоже склоняюсь что проблема с маршрутами, но какая? )

Night_Snake, а на асах такую схему возможно реализовать? то есть сможет ли asa5505 работать с двумя провайдерами, поддерживая одновременно два vpn канала с одним клиентом?

[user71]

как вы их различаете так и указываете. То что идет с одной подсети метите в wan1-out c другой в wan2-out. критерий dst-address не единственый %)

 

Выкиньте микротик и поставьте ASA или SRX.

Микротик и IPSec совместимы плохо и недолго.

вроде работает и не жалуется. В чем заключается плохая совместимость?

[Saab95]

Saab95

у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %)

 

Поднимите на одном интернет, а на втором настройте шейпер.

[user71]

шейпер уже есть. кстати о шейпере есть идеи как выдать каждой сессии равную скорость?

[Night_Snake]

вроде работает и не жалуется. В чем заключается плохая совместимость?

Возможны подземные стуки при апгреде RoS, например. Пропадание SA и т.д.