[Еггог]

Всем добрый день!

 

Если кто сталкивался с подобной проблемой, прошу подсказать.

 

В двух офисах имеется по микротику с ROS 6.34, на каждом из которых настроено подключение к Интернет через двух провайдеров. Между роутерами настроено четыре ipip-туннеля с ip-sec шифрованием (динамические политики). То есть одновременно поднимается 4 шифрованных туннеля с любого внешнего IP одного микротика, на любой внешний IP второго микротика. Всё на первый взгляд хорошо, на стенде (в упрощенном виде) работает идеально много суток и после отключений любого из каналов туннели легко восстанавливаются. Но вот в реальных условиях не всё так радужно - время от времени туннели падают (часть каналов проблемные) и не восстанавливаются даже посредством их принудительного включения/выключения. То есть получается интересная картина: - на одной стороне микротик считает только туннели 1 и 3 активными, а на второй стороне "активны" туннели 2 и 4, а 1 и 3 типа не активны. Ну и разумеется ни один из туннелей при этом не работает. Это при условии, что со всеми каналами связи всё в порядке.

[pingz]

Тип подключения? У провайдеров.

[boombastic]

Error, у меня подобная конфигурация (2 офиса, ВПН ,каждый офис с двумя провайдерами).

Но я проблему мониторинга и переключения каналов/ВПН-а решил через системные скрипты микротика (пингами)

[Еггог]

Тип подключения? У провайдеров.

где-то приходит эзернетом, где-то оптикой, где-то радиоканалом. Во всех случаях реальные белые, статические IP. Но там где подключение радиоканалом связь не стабильная и маршруты в зависимости от направления передачи заметно различаются, что к примеру отражается на пинге. Разница на порядок, в зависимости от направления.

 

Error, у меня подобная конфигурация (2 офиса, ВПН ,каждый офис с двумя провайдерами).

Но я проблему мониторинга и переключения каналов/ВПН-а решил через системные скрипты микротика (пингами)

Я правильно понял, что у вас подобная проблема с туннелями ? У меня ospf работает поверх всего и выбирает живой туннель, но беда в том, что впасть в ступор могут все четыре туннеля, хотя все провайдерские каналы при этом будут оставаться работоспособными.

Изменено 3 августа, 2016 пользователем Еггог

[boombastic]

не, у меня не проблема, у меня ситуация подобная: 2 офиса, 2 канала в каждом.

Но всегда работает только один единственный туннель между каким-то конкретным каналом в офисе-1 и каким-то конкретным каналом в офисе-2. ospf нету, т.к. реализовано через icmp

[Saab95]

IPIP туннель не самое удачное решение, нужно использовать L2TP туннели по внешним адресам микротиков, то есть каждый работает и клиентом, и сервером сразу, поверх пускаете OSPF, и все отлично будет работать.

[Еггог]

IPIP туннель не самое удачное решение

Вполне допускаю, что решение IPIP не лучшее, но хотелось бы понимания почему оно не лучшее. Что касается L2TP то интересует такой момент. Важно, чтобы трафик по возможности всегда шёл через основные каналы, когда они доступны. Каким образом исходящие l2tp подключения раскидать так чтобы они шли через разных провайдеров ? Если этого не сделать, то соединения установятся через доступный на данный момент канал связи и будут держаться до его обрыва. (скрипты сейчас не рассматриваем)

P.S. Или с каждого делать по два исходящих подключения на 2 разных канала противоположной стороны, при этом на одной стороне обеспечить установление данных подключений только через основной канал, а на другой только через резервный ?

Изменено 4 августа, 2016 пользователем Еггог

[Saab95]

Такую задачу одним роутером не решить. Нужно в каждом офисе поставить 2 роутера, к каждому подключить 1 канал оператора. Тогда на каждом создаете L2TP сервер и с каждого создаете 2 туннеля на каждый удаленный роутер.

 

Допустим 1-1 это первый роутер первой точки 1-2 второй роутер первой точки, 2-1 и 2-2 соответственно вторая точка

 

1-1 - создает туннели на 2-1 и 2-2

1-2 - создает туннели на 2-1 и 2-2

2-1 - создает туннели на 1-1 и 1-2

2-2 - создает туннели на 1-1 и 1-2

 

Далее включаете динамическую маршрутизацию OSPF, не забыв повесить уникальные IP адреса на каждом роутере для адресации туннелей. Теперь нужно пустить трафик через основной канал, например с каждой стороны вы подключаете его к 1-1 и 2-1, тогда роутеры 1-2 и 2-2 подключаете к резервному, сами роутеры на каждой точке соединяете пачкордом, на это соединение указываете метрику 100 в OSPF, а потребителей подключаете к первому роутеру, тогда они будут иметь кратчайший маршрут до противоположного офиса через основной канал. Как он отключится, данные побегут через второй роутер и резервный канал.

 

При этом не нужны никакие скрипты. Для защиты от зависаний настраиваете вачдог на противоположные IP адреса /32, которые вешаете на каждом роутере и все.

[Dim-Soft]

IPIP туннель не самое удачное решение, нужно использовать L2TP туннели по внешним адресам микротиков

а L2TP "тяжелее" чем IP2IP ? у IP2IP указываютс "оба конца" - неужели нельзя разделить по каналам ?

[Saab95]

а L2TP "тяжелее" чем IP2IP ? у IP2IP указываютс "оба конца" - неужели нельзя разделить по каналам ?

 

Тут всегда можно задать простой вопрос - как будете настраивать, если будет 1000 точек? Введете 1000 пар IP адресов?

Вот и в малых сетях, при наличии 2-х роутеров, нужно стремиться к простоте реализации. У L2TP чуть меньше МТУ, зато более высокая надежность и есть понятие статуса соединения, то есть все падения линков будут отработаны.