Jump to content
Калькуляторы

Mikrotik <-> Mikrotik IPIP tunnel & 2 провайдера Несколько шифрованных ipip-туннелей между офисами

Всем добрый день!

 

Если кто сталкивался с подобной проблемой, прошу подсказать.

 

В двух офисах имеется по микротику с ROS 6.34, на каждом из которых настроено подключение к Интернет через двух провайдеров. Между роутерами настроено четыре ipip-туннеля с ip-sec шифрованием (динамические политики). То есть одновременно поднимается 4 шифрованных туннеля с любого внешнего IP одного микротика, на любой внешний IP второго микротика. Всё на первый взгляд хорошо, на стенде (в упрощенном виде) работает идеально много суток и после отключений любого из каналов туннели легко восстанавливаются. Но вот в реальных условиях не всё так радужно - время от времени туннели падают (часть каналов проблемные) и не восстанавливаются даже посредством их принудительного включения/выключения. То есть получается интересная картина: - на одной стороне микротик считает только туннели 1 и 3 активными, а на второй стороне "активны" туннели 2 и 4, а 1 и 3 типа не активны. Ну и разумеется ни один из туннелей при этом не работает. Это при условии, что со всеми каналами связи всё в порядке.

Share this post


Link to post
Share on other sites

Error, у меня подобная конфигурация (2 офиса, ВПН ,каждый офис с двумя провайдерами).

Но я проблему мониторинга и переключения каналов/ВПН-а решил через системные скрипты микротика (пингами)

Share this post


Link to post
Share on other sites

Тип подключения? У провайдеров.

где-то приходит эзернетом, где-то оптикой, где-то радиоканалом. Во всех случаях реальные белые, статические IP. Но там где подключение радиоканалом связь не стабильная и маршруты в зависимости от направления передачи заметно различаются, что к примеру отражается на пинге. Разница на порядок, в зависимости от направления.

 

Error, у меня подобная конфигурация (2 офиса, ВПН ,каждый офис с двумя провайдерами).

Но я проблему мониторинга и переключения каналов/ВПН-а решил через системные скрипты микротика (пингами)

Я правильно понял, что у вас подобная проблема с туннелями ? У меня ospf работает поверх всего и выбирает живой туннель, но беда в том, что впасть в ступор могут все четыре туннеля, хотя все провайдерские каналы при этом будут оставаться работоспособными.

Edited by Еггог

Share this post


Link to post
Share on other sites

не, у меня не проблема, у меня ситуация подобная: 2 офиса, 2 канала в каждом.

Но всегда работает только один единственный туннель между каким-то конкретным каналом в офисе-1 и каким-то конкретным каналом в офисе-2. ospf нету, т.к. реализовано через icmp

Share this post


Link to post
Share on other sites

IPIP туннель не самое удачное решение, нужно использовать L2TP туннели по внешним адресам микротиков, то есть каждый работает и клиентом, и сервером сразу, поверх пускаете OSPF, и все отлично будет работать.

Share this post


Link to post
Share on other sites

IPIP туннель не самое удачное решение

Вполне допускаю, что решение IPIP не лучшее, но хотелось бы понимания почему оно не лучшее. Что касается L2TP то интересует такой момент. Важно, чтобы трафик по возможности всегда шёл через основные каналы, когда они доступны. Каким образом исходящие l2tp подключения раскидать так чтобы они шли через разных провайдеров ? Если этого не сделать, то соединения установятся через доступный на данный момент канал связи и будут держаться до его обрыва. (скрипты сейчас не рассматриваем)

P.S. Или с каждого делать по два исходящих подключения на 2 разных канала противоположной стороны, при этом на одной стороне обеспечить установление данных подключений только через основной канал, а на другой только через резервный ?

Edited by Еггог

Share this post


Link to post
Share on other sites

Такую задачу одним роутером не решить. Нужно в каждом офисе поставить 2 роутера, к каждому подключить 1 канал оператора. Тогда на каждом создаете L2TP сервер и с каждого создаете 2 туннеля на каждый удаленный роутер.

 

Допустим 1-1 это первый роутер первой точки 1-2 второй роутер первой точки, 2-1 и 2-2 соответственно вторая точка

 

1-1 - создает туннели на 2-1 и 2-2

1-2 - создает туннели на 2-1 и 2-2

2-1 - создает туннели на 1-1 и 1-2

2-2 - создает туннели на 1-1 и 1-2

 

Далее включаете динамическую маршрутизацию OSPF, не забыв повесить уникальные IP адреса на каждом роутере для адресации туннелей. Теперь нужно пустить трафик через основной канал, например с каждой стороны вы подключаете его к 1-1 и 2-1, тогда роутеры 1-2 и 2-2 подключаете к резервному, сами роутеры на каждой точке соединяете пачкордом, на это соединение указываете метрику 100 в OSPF, а потребителей подключаете к первому роутеру, тогда они будут иметь кратчайший маршрут до противоположного офиса через основной канал. Как он отключится, данные побегут через второй роутер и резервный канал.

 

При этом не нужны никакие скрипты. Для защиты от зависаний настраиваете вачдог на противоположные IP адреса /32, которые вешаете на каждом роутере и все.

Share this post


Link to post
Share on other sites

IPIP туннель не самое удачное решение, нужно использовать L2TP туннели по внешним адресам микротиков

а L2TP "тяжелее" чем IP2IP ? у IP2IP указываютс "оба конца" - неужели нельзя разделить по каналам ?

Share this post


Link to post
Share on other sites

а L2TP "тяжелее" чем IP2IP ? у IP2IP указываютс "оба конца" - неужели нельзя разделить по каналам ?

 

Тут всегда можно задать простой вопрос - как будете настраивать, если будет 1000 точек? Введете 1000 пар IP адресов?

Вот и в малых сетях, при наличии 2-х роутеров, нужно стремиться к простоте реализации. У L2TP чуть меньше МТУ, зато более высокая надежность и есть понятие статуса соединения, то есть все падения линков будут отработаны.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.