Еггог Posted August 2, 2016 · Report post Всем добрый день! Если кто сталкивался с подобной проблемой, прошу подсказать. В двух офисах имеется по микротику с ROS 6.34, на каждом из которых настроено подключение к Интернет через двух провайдеров. Между роутерами настроено четыре ipip-туннеля с ip-sec шифрованием (динамические политики). То есть одновременно поднимается 4 шифрованных туннеля с любого внешнего IP одного микротика, на любой внешний IP второго микротика. Всё на первый взгляд хорошо, на стенде (в упрощенном виде) работает идеально много суток и после отключений любого из каналов туннели легко восстанавливаются. Но вот в реальных условиях не всё так радужно - время от времени туннели падают (часть каналов проблемные) и не восстанавливаются даже посредством их принудительного включения/выключения. То есть получается интересная картина: - на одной стороне микротик считает только туннели 1 и 3 активными, а на второй стороне "активны" туннели 2 и 4, а 1 и 3 типа не активны. Ну и разумеется ни один из туннелей при этом не работает. Это при условии, что со всеми каналами связи всё в порядке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted August 3, 2016 · Report post Тип подключения? У провайдеров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boombastic Posted August 3, 2016 · Report post Error, у меня подобная конфигурация (2 офиса, ВПН ,каждый офис с двумя провайдерами). Но я проблему мониторинга и переключения каналов/ВПН-а решил через системные скрипты микротика (пингами) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Еггог Posted August 3, 2016 (edited) · Report post Тип подключения? У провайдеров. где-то приходит эзернетом, где-то оптикой, где-то радиоканалом. Во всех случаях реальные белые, статические IP. Но там где подключение радиоканалом связь не стабильная и маршруты в зависимости от направления передачи заметно различаются, что к примеру отражается на пинге. Разница на порядок, в зависимости от направления. Error, у меня подобная конфигурация (2 офиса, ВПН ,каждый офис с двумя провайдерами). Но я проблему мониторинга и переключения каналов/ВПН-а решил через системные скрипты микротика (пингами) Я правильно понял, что у вас подобная проблема с туннелями ? У меня ospf работает поверх всего и выбирает живой туннель, но беда в том, что впасть в ступор могут все четыре туннеля, хотя все провайдерские каналы при этом будут оставаться работоспособными. Edited August 3, 2016 by Еггог Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boombastic Posted August 3, 2016 · Report post не, у меня не проблема, у меня ситуация подобная: 2 офиса, 2 канала в каждом. Но всегда работает только один единственный туннель между каким-то конкретным каналом в офисе-1 и каким-то конкретным каналом в офисе-2. ospf нету, т.к. реализовано через icmp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 3, 2016 · Report post IPIP туннель не самое удачное решение, нужно использовать L2TP туннели по внешним адресам микротиков, то есть каждый работает и клиентом, и сервером сразу, поверх пускаете OSPF, и все отлично будет работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Еггог Posted August 4, 2016 (edited) · Report post IPIP туннель не самое удачное решение Вполне допускаю, что решение IPIP не лучшее, но хотелось бы понимания почему оно не лучшее. Что касается L2TP то интересует такой момент. Важно, чтобы трафик по возможности всегда шёл через основные каналы, когда они доступны. Каким образом исходящие l2tp подключения раскидать так чтобы они шли через разных провайдеров ? Если этого не сделать, то соединения установятся через доступный на данный момент канал связи и будут держаться до его обрыва. (скрипты сейчас не рассматриваем) P.S. Или с каждого делать по два исходящих подключения на 2 разных канала противоположной стороны, при этом на одной стороне обеспечить установление данных подключений только через основной канал, а на другой только через резервный ? Edited August 4, 2016 by Еггог Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 4, 2016 · Report post Такую задачу одним роутером не решить. Нужно в каждом офисе поставить 2 роутера, к каждому подключить 1 канал оператора. Тогда на каждом создаете L2TP сервер и с каждого создаете 2 туннеля на каждый удаленный роутер. Допустим 1-1 это первый роутер первой точки 1-2 второй роутер первой точки, 2-1 и 2-2 соответственно вторая точка 1-1 - создает туннели на 2-1 и 2-2 1-2 - создает туннели на 2-1 и 2-2 2-1 - создает туннели на 1-1 и 1-2 2-2 - создает туннели на 1-1 и 1-2 Далее включаете динамическую маршрутизацию OSPF, не забыв повесить уникальные IP адреса на каждом роутере для адресации туннелей. Теперь нужно пустить трафик через основной канал, например с каждой стороны вы подключаете его к 1-1 и 2-1, тогда роутеры 1-2 и 2-2 подключаете к резервному, сами роутеры на каждой точке соединяете пачкордом, на это соединение указываете метрику 100 в OSPF, а потребителей подключаете к первому роутеру, тогда они будут иметь кратчайший маршрут до противоположного офиса через основной канал. Как он отключится, данные побегут через второй роутер и резервный канал. При этом не нужны никакие скрипты. Для защиты от зависаний настраиваете вачдог на противоположные IP адреса /32, которые вешаете на каждом роутере и все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dim-Soft Posted August 11, 2016 · Report post IPIP туннель не самое удачное решение, нужно использовать L2TP туннели по внешним адресам микротиков а L2TP "тяжелее" чем IP2IP ? у IP2IP указываютс "оба конца" - неужели нельзя разделить по каналам ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 11, 2016 · Report post а L2TP "тяжелее" чем IP2IP ? у IP2IP указываютс "оба конца" - неужели нельзя разделить по каналам ? Тут всегда можно задать простой вопрос - как будете настраивать, если будет 1000 точек? Введете 1000 пар IP адресов? Вот и в малых сетях, при наличии 2-х роутеров, нужно стремиться к простоте реализации. У L2TP чуть меньше МТУ, зато более высокая надежность и есть понятие статуса соединения, то есть все падения линков будут отработаны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...