Jump to content
Калькуляторы

L2TP на свой WAN

Добрый день, товарищи!

В наличии Mikrotik-1. На нем выход на два WAN1 и WAN2 (Lte и Wi-Fi). Созданы два L2TP клиента (l2tp-out1 и l2tp-out2) на адрес 1.2.3.4

В интернете расположен другой Mikrotik-2 со статичным IP (1.2.3.4), на котором поднят L2TP сервер и ждет коннектов от Mikrotik-1.

Задача: 

Направить l2tp-out1 на Wan1 (Lte)

Направить l2tp-out2 на Wan2 (Wi-Fi)

Важно! адрес только один, и одно l2tp - один Wan.

Очень жду помощи. Любой. Спасибо. 

Share this post


Link to post
Share on other sites
11 часов назад, zhekius сказал:

Очень жду помощи. Любой.

Вы там держитесь. Хорошего вам настроения.

 

В чем вопрос то?

Если настроить горячий резерв, то нужно задать метрики.

Если нужна агрегация каналов, то этого не сделать.

Share this post


Link to post
Share on other sites

@zhekius , Вам нужно использовать разные протоколы для туннелей. Например, l2tp для первого и sstp для второго.
Дальше элементарно решается маркировкой исходящих пакетов и альтернативной таблицей маршрутизации.

Оба канала можно использовать хоть одновременно, хоть по отдельности.

Share this post


Link to post
Share on other sites

@nkusnetsov Сделали так. В принципе... Работает. 

А если я третий интерфейс подцеплю? В целом, решили остановиться на SSTP, т.к. там есть привязка по порту.

Но если есть у кого идеи по поводу L2TP или PPTP или OVPN, то будут признателен за рекомендации. 

Вот,  схемку получше обозначил, чтобы было понятнее...

2 USB.jpg

Share this post


Link to post
Share on other sites

В похожей задаче я "поделил" Mikrotik-1 пополам (MetaROUTER - классная вещь!).

Оба туннеля на протоколе SSTP.

Для sstp1 port=443, для sstp2 port=444. 

В /firewall nat Mikrotik-2 редирект 444->443. 

3-й год полёт нормальный.

Share this post


Link to post
Share on other sites

@zhekius 

 

 Настраивал практически такую схему, только у меня Mikrotik-2 (где L2TP сервер) с динамическим IP. 

 

На Mikrotik-1 два провайдера - PPPoE и LTE. 

Cделана стандартная маркировка input - output по провайдерам. 

Настроены два пира в IPSec, указаны локальные адреса.

 

Локальные адреса - один фиксированный (на LTE), один динамический - обновляется скриптом в ppp профиле PPPoE,

также можно для модема в режиме PPP сделать.

У меня LTE MF823 в режиме роутера, повесил фикс. адрес на его интерфейс, прописал маршруты на локальные подсети в сам модем. 

 

Дальше две (или больше - сколько пар подсетей хотите связать) IPSec политики, в политиках SA Src. Address обновлять из тех же скриптов. 

У меня еще SA Dst. Address обновляется, т.к. динамический IP на сервере, скриптом, запускаемым из задания шедулера, которое активируется/деактивируется netwatch-ем.

 

Ну а поверх этих IPSec туннелей пускаете, что хотите - IPIP, GRE, EoIP туннели на локальных уже адресах, которые по этим туннелям ходят. 

 

На стороне сервера отдельно настраивать пиров не нужно, достаточно просто включить L2TP сервер. 

Он сам создаст динамический пир на ::/0, т.е. для любых входящих, либо можно такой же пир вручную создать, если L2TP сервер не нужен для прочих клиентов.

 

Также уже должен быть дефолтовый шаблон в политиках, по нему будут политики сами добавляться.

Я еще в шаблоне proposal на свой поменял, в котором оставил один вариант подписи/шифрования - sha1/aes128-cbc.

 

 

Такая картинка получается на сервере при поднятых туннелях, все внешние адреса динамические, 85.115.224.145 - NAT Билайна.

[admin@MikroTik] > /ip ipsec remote-peers print detail 
Flags: R - responder, N - natt-peer 
 0 RN local-address=5.11.XX.YYY port=4500 remote-address=85.115.224.145 port=59640 state=established side=responder uptime=4h27m26s last-seen=1m4s 

 1 RN local-address=5.11.XX.YYY port=4500 remote-address=95.52.XXX.YY port=4500 state=established side=responder uptime=4h27m31s last-seen=1m30s 
[admin@MikroTik] > /ip ipsec policy print detail       
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=pfs template=yes 

 1  DA  src-address=192.168.10.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp 
       tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=95.52.XXX.YY proposal=pfs ph2-count=1 

 2  DA  src-address=172.16.0.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes 
       sa-src-address=5.11.XX.YYY sa-dst-address=85.115.224.145 proposal=pfs ph2-count=1 

 

 

 

Edited by McSea

Share this post


Link to post
Share on other sites
В 29.03.2018 в 00:57, McSea сказал:

На Mikrotik-1 два провайдера - PPPoE и LTE. 

Cделана стандартная маркировка input - output по провайдерам. 

Настроены два пира в IPSec, указаны локальные адреса.

Подскажите пожалуйста как делали с примерами.

нужно с одного микротика два l2tp через разные шлюзы

 

/ip firewall mangle

add action=mark-routing chain=prerouting in-interface=l2tp251 \
    new-routing-mark=for-l2tp251

add action=mark-routing chain=prerouting in-interface=l2tp252 \
    new-routing-mark=for-l2tp252
/ip route
add distance=1 gateway=lte1 routing-mark=for-l2tp251
add distance=1 gateway=lte2 routing-mark=for-l2tp252
 

/ip firewall mangle
add action=mark-connection chain=input in-interface=\
    l2tp251 new-connection-mark=Cl2tp251
add action=mark-routing chain=output connection-mark=Cl2tp251 new-routing-mark=\
    for-l2tp251 passthrough=no

 

add action=mark-connection chain=input in-interface=l2tp252 \
    new-connection-mark=Cl2tp252
add action=mark-routing chain=output connection-mark=Cl2tp252 new-routing-mark=\
    for-l2tp252 passthrough=no

 

Вот все что нарыл - но не работает - идет через один канал и все))

Edited by Smirnovi

Share this post


Link to post
Share on other sites
28 minutes ago, Smirnovi said:

нужно с одного микротика два l2tp через разные шлюзы

Подключение идет к одному серверу (один IP адрес), или двум разным ?

Если к одному, стандартным L2TP клиентом не настроите, там негде указать, какой именно локальный адрес использовать.

Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ?

 

Маркировка, про которую выше писал - обычная стандартная для двух провайдеров.

Т.е. для провайдерских интерфейсов, не для туннельных. 

Edited by McSea

Share this post


Link to post
Share on other sites
1 час назад, McSea сказал:

Подключение идет к одному серверу (один IP адрес), или двум разным ?

к одному 

1 час назад, McSea сказал:

Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ?

клиент и сервер микротик

оно легко создает пару туннелей но идет все по одному линку(

ну хоть както это можно сделать? на ipsec например

или для разных vpn l2tp и pptp

 

https://spw.ru/forum/threads/marshrutizacija-i-interfejsy.534/

вот тут что то %interface может поможет?

Edited by Smirnovi

Share this post


Link to post
Share on other sites
2 hours ago, Smirnovi said:

ну хоть както это можно сделать? на ipsec например

Выше я как раз про IPSec писал, почитайте. Готовый конфиг не дам, т.к. у меня уже нет такого - офис тот переехал и схема изменилась.

 

Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. 

Соответственно, нужны 2 разных локальных адреса на инет интерфейсах.

 

Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. 

Далее также делаем в policy (про настройку IPSec между микротиками почитайте в вики микротика).

 

Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой.

Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать).

И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута".

 

Edited by McSea

Share this post


Link to post
Share on other sites
1 час назад, McSea сказал:

Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. 

Соответственно, нужны 2 разных локальных адреса на инет интерфейсах.

эти лок адреса должны входить в какие нибудь подсети?

то есть этои лок адреса у нас отобразяца в адресах?

Share this post


Link to post
Share on other sites
1 hour ago, Smirnovi said:

то есть этои лок адреса у нас отобразяца в адресах?

Уже отображаются, т.е. те адреса, что уже есть на инет интерфейсах - они должны быть разные, иначе трафик не разделить.

 

Share this post


Link to post
Share on other sites

 

mikrotik.thumb.png.d3c568e6e52255f0f0b74514a03f5f2d.png

 

Вот такая беда - не дает создать второй пир

 

 Exchange mode is the only unique identifier between the peers, meaning that there can be multiple peer configurations with the same remote-address as long as different exchange-mode is used.

Edited by Smirnovi

Share this post


Link to post
Share on other sites

@Smirnovi 

 

On 10/22/2018 at 10:46 PM, McSea said:

Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. 

 

Share this post


Link to post
Share on other sites
9 минут назад, McSea сказал:

@Smirnovi 

 

В том то и дело что не дает создать даже с разными.

версия ROS последняя.

Share this post


Link to post
Share on other sites

как раз так и не дает - делаю даже не только лок адресс разным но и любые параметры - подскажите на какой у вас версии микрота так?

а 6.43.4 - это боевой конфиг?

 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf

по этой инструкции делал

плюс это 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#RoadWarrior_client_with_NAT

у меня туннельный режим 

какой у вас?

 

Edited by Smirnovi

Share this post


Link to post
Share on other sites

На скриншоте черным подчеркнута (6.43.4).

Share this post


Link to post
Share on other sites

/ip ipsec mode-config
set [ find default=yes ] src-address-list=local-RW
/ip firewall address-list
add address=addr/24 list=local-RW
/ip ipsec peer
add address=addr/32 auth-method=pre-shared-key-xauth exchange-mode=\
    ike2 generate-policy=port-strict local-address=addr mode-config=\
    request-only send-initial-contact=no xauth-login=user
 

6.43.2 у меня на hap ac2

Share this post


Link to post
Share on other sites

@Smirnovi 

Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете.

/ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.1 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345

/ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.2 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345

 

Edited by McSea

Share this post


Link to post
Share on other sites

*) ipsec - allow multiple peers to the same address with different local-address (introduced in v6.43)

 

ураааа ! это победа - из последнего чейджлога What's new in 6.43.4 (2018-Oct-17 06:37):

Share this post


Link to post
Share on other sites

Понятно, баг добавили в 6.43, в более ранних версияx его не было. 

А я для проверки поставил последнюю 6.43.4, где это уже поправили.

 

Вообще же для работы использую только bugfix-only версии (последняя 6.42.9) там таких косяков (как правило) не бывает. 

 

Edited by McSea

Share this post


Link to post
Share on other sites
1 час назад, McSea сказал:

Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете.



 

хыы весело - из консоли дает создать а из винбокса ругаеца на айпи адресс

Share this post


Link to post
Share on other sites
В 22.10.2018 в 23:46, McSea сказал:

Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой.

Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать).

И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута".

не выходит с ip routes rules 

или я что та недопонимаю

подскажите пожалуйста как прописать

и манглы если возможно

так https://nixman.info/?p=133

или так https://vasilevkirill.com/MikroTik/1/

Edited by Smirnovi

Share this post


Link to post
Share on other sites
21 hours ago, Smirnovi said:

не выходит с ip routes rules 

Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные).

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this