Перейти к содержимому
Калькуляторы

Mikrotik 2 wan 2 vpn ipsec with 1 client интересная задачка)

Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал.

Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей?

 

 

post-128327-002386500 1435067326_thumb.png

 

Конфигурация центрального роутера:

# jun/23/2015 10:17:30 by RouterOS 6.28
#
/interface bridge
add name=wan-1.1.1
/interface ethernet
set [ find default-name=ether1 ] name=1-WAN-1.1.1.2
set [ find default-name=ether2 ] name=2-WAN-2.2.2.2
set [ find default-name=ether5 ] name=5-ASA-TMG
set [ find default-name=ether11 ] name=11-WAN-1.1.1
set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/interface bridge port
add bridge=wan-1.1.1 interface=11-WAN-1.1.1
add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2
/ip address
add address=172.16.1.1/24 comment="default configuration" interface=\
   12-LAN-172.16.1.0/24 network=172.16.1.0
add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0
add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\
   1.1.1.120
add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\
   2.2.2.120
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input protocol=icmp
add chain=input in-interface=12-LAN-172.16.1.0/24
add chain=input in-interface=5-ASA-TMG
add action=drop chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
   new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
   new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
   new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
   new-routing-mark=wan1-out passthrough=no
/ip firewall nat
/ip ipsec peer
add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
   PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   1.1.1.2 src-address=172.16.1.0/24 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   2.2.2.2 src-address=10.0.0.0/8 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
   2.2.2.2 src-address=192.168.0.0/16 tunnel=yes
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1

 

Конфигурация удаленного объекта:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/ip address
add address=10.3.8.1/24 comment="default configuration" interface=\
   bridge-local network=10.3.8.0
add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180
/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\
   PASSWORD
add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
   PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \
   sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \
   sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\
   3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
/ip route
add distance=1 gateway=3.3.3.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Показывайте конфиг третьего роутера, R0SRV03.

 

а там и показывать нечего) циска на который прописана статика, какие подсети за каким интерфейсом сидят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо поставить по 2 микротика, между ними сделать 2 туннеля, тогда трафик будет бегать только там, где надо, т.к. вы четко укажете маршруты через OSPF, в дополнение получите резервирование от выхода любого устройства из строя. И не используйте IPSEC.

без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют.

 

не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы.

 

подозреваю, что проблема на центральном микротике в этих строчках:

\
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
   new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
   new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
   new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
   new-routing-mark=wan1-out passthrough=no
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1

 

получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному.

 

еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические.

post-128327-093234700 1435216767_thumb.png

Изменено пользователем Vadevil

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем вам VRRP? Если будет L3 сеть на OSPF? Все эти устаревшие технологии нужно выкинуть с сети, и не мешать между собой вендоров оборудования. Если у вас циска, то ставьте везде циски, если финансы так не позволяют, ставьте в центре микротик и подключайте к нему микротики.

 

мешанина вендоров не причем, проприетарные протоколы не используются. по остальным протоколам, всё друг с другом вполне нормально работает.

 

у меня конкретная ситуация с микротиком и двумя wan подключениями и прохождением через них двух тоннелей от одного клиента, прошу помочь в этом вопросе)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отвечает он по wan1-out и wan2-out. а вот на выход через wan-85. второй не активен считай не работает. попробуйте явно указать через что ходить до этих двух адресов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95

у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выкиньте микротик и поставьте ASA или SRX.

Микротик и IPSec совместимы плохо и недолго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

user71, на центральном роутере 2 внешних адреса, а на клиентском только один, как явно указать? тоже склоняюсь что проблема с маршрутами, но какая? )

Night_Snake, а на асах такую схему возможно реализовать? то есть сможет ли asa5505 работать с двумя провайдерами, поддерживая одновременно два vpn канала с одним клиентом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как вы их различаете так и указываете. То что идет с одной подсети метите в wan1-out c другой в wan2-out. критерий dst-address не единственый %)

 

Выкиньте микротик и поставьте ASA или SRX.

Микротик и IPSec совместимы плохо и недолго.

вроде работает и не жалуется. В чем заключается плохая совместимость?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95

у меня есть 2 микротика, 1 isp, как мне второй присобить хоть под что нибудь? %)

 

Поднимите на одном интернет, а на втором настройте шейпер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

шейпер уже есть. кстати о шейпере есть идеи как выдать каждой сессии равную скорость?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вроде работает и не жалуется. В чем заключается плохая совместимость?

Возможны подземные стуки при апгреде RoS, например. Пропадание SA и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.