Jump to content

Mikrotik 2 wan 2 vpn ipsec with 1 client интересная задачка)

Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал.

Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей?

 

 

post-128327-002386500 1435067326_thumb.png

 

Конфигурация центрального роутера:

# jun/23/2015 10:17:30 by RouterOS 6.28
#
/interface bridge
add name=wan-1.1.1
/interface ethernet
set [ find default-name=ether1 ] name=1-WAN-1.1.1.2
set [ find default-name=ether2 ] name=2-WAN-2.2.2.2
set [ find default-name=ether5 ] name=5-ASA-TMG
set [ find default-name=ether11 ] name=11-WAN-1.1.1
set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/interface bridge port
add bridge=wan-1.1.1 interface=11-WAN-1.1.1
add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2
/ip address
add address=172.16.1.1/24 comment="default configuration" interface=\
   12-LAN-172.16.1.0/24 network=172.16.1.0
add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0
add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\
   1.1.1.120
add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\
   2.2.2.120
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input protocol=icmp
add chain=input in-interface=12-LAN-172.16.1.0/24
add chain=input in-interface=5-ASA-TMG
add action=drop chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
   new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
   new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
   new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
   new-routing-mark=wan1-out passthrough=no
/ip firewall nat
/ip ipsec peer
add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
   PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   1.1.1.2 src-address=172.16.1.0/24 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   2.2.2.2 src-address=10.0.0.0/8 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   2.2.2.2 src-address=192.168.0.0/16 tunnel=yes
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1

 

Конфигурация удаленного объекта:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/ip address
add address=10.3.8.1/24 comment="default configuration" interface=\
   bridge-local network=10.3.8.0
add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180
/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\
   PASSWORD
add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
   PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \
   sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \
   sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\
   3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
/ip route
add distance=1 gateway=3.3.3.1

Share this post


Link to post
Share on other sites

Показывайте конфиг третьего роутера, R0SRV03.

 

а там и показывать нечего) циска на который прописана статика, какие подсети за каким интерфейсом сидят.

Share this post


Link to post
Share on other sites

Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC.

Share this post


Link to post
Share on other sites

Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC.

без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют.

 

не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы.

 

подозреваю, что проблема на центральном микротике в этих строчках:

\
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
   new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
   new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
   new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
   new-routing-mark=wan1-out passthrough=no
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1

 

получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному.

 

еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические.

post-128327-093234700 1435216767_thumb.png

Edited by Vadevil

Share this post


Link to post
Share on other sites

Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики.

Share this post


Link to post
Share on other sites

Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики.

 

мешанина вендоров не причем, проприетарные протоколы не используются. по остальным протоколам, всё друг с другом вполне нормально работает.

 

у меня конкретная ситуация с микротиком и двумя wan подключениями и прохождением через них двух тоннелей от одного клиента, прошу помочь в этом вопросе)

Share this post


Link to post
Share on other sites

отвечает он по wan1-out и wan2-out. а вот на выход через wan-85. второй не активен считай не работает. попробуйте явно указать через что ходить до этих двух адресов

Share this post


Link to post
Share on other sites

Выкиньте микротик и поставьте ASA или SRX.

Микротик и IPSec совместимы плохо и недолго.

Share this post


Link to post
Share on other sites

user71, на центральном роутере 2 внешних адреса, а на клиентском только один, как явно указать? тоже склоняюсь что проблема с маршрутами, но какая? )

Night_Snake, а на асах такую схему возможно реализовать? то есть сможет ли asa5505 работать с двумя провайдерами, поддерживая одновременно два vpn канала с одним клиентом?

Share this post


Link to post
Share on other sites

как вы их различаете так и указываете. То что идет с одной подсети метите в wan1-out c другой в wan2-out. критерий dst-address не единственый %)

 

Выкиньте микротик и поставьте ASA или SRX.

Микротик и IPSec совместимы плохо и недолго.

вроде работает и не жалуется. В чем заключается плохая совместимость?

Share this post


Link to post
Share on other sites

Saab95

у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %)

 

Поднимите на одном интернет, а на втором настройте шейпер.

Share this post


Link to post
Share on other sites

вроде работает и не жалуется. В чем заключается плохая совместимость?

Возможны подземные стуки при апгреде RoS, например. Пропадание SA и т.д.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.