[zhekius]

Добрый день, товарищи!

В наличии Mikrotik-1. На нем выход на два WAN1 и WAN2 (Lte и Wi-Fi). Созданы два L2TP клиента (l2tp-out1 и l2tp-out2) на адрес 1.2.3.4

В интернете расположен другой Mikrotik-2 со статичным IP (1.2.3.4), на котором поднят L2TP сервер и ждет коннектов от Mikrotik-1.

Задача: 

Направить l2tp-out1 на Wan1 (Lte)

Направить l2tp-out2 на Wan2 (Wi-Fi)

Важно! адрес только один, и одно l2tp - один Wan.

Очень жду помощи. Любой. Спасибо. 

[alibek]

11 часов назад, zhekius сказал:

Очень жду помощи. Любой.

Вы там держитесь. Хорошего вам настроения.

 

В чем вопрос то?

Если настроить горячий резерв, то нужно задать метрики.

Если нужна агрегация каналов, то этого не сделать.

[nkusnetsov]

@zhekius , Вам нужно использовать разные протоколы для туннелей. Например, l2tp для первого и sstp для второго.
Дальше элементарно решается маркировкой исходящих пакетов и альтернативной таблицей маршрутизации.

Оба канала можно использовать хоть одновременно, хоть по отдельности.

[zhekius]

@nkusnetsov Сделали так. В принципе... Работает. 

А если я третий интерфейс подцеплю? В целом, решили остановиться на SSTP, т.к. там есть привязка по порту.

Но если есть у кого идеи по поводу L2TP или PPTP или OVPN, то будут признателен за рекомендации. 

Вот,  схемку получше обозначил, чтобы было понятнее...

[DAF]

В похожей задаче я "поделил" Mikrotik-1 пополам (MetaROUTER - классная вещь!).

Оба туннеля на протоколе SSTP.

Для sstp1 port=443, для sstp2 port=444. 

В /firewall nat Mikrotik-2 редирект 444->443. 

3-й год полёт нормальный.

[McSea]

@zhekius 

 

 Настраивал практически такую схему, только у меня Mikrotik-2 (где L2TP сервер) с динамическим IP. 

 

На Mikrotik-1 два провайдера - PPPoE и LTE. 

Cделана стандартная маркировка input - output по провайдерам. 

Настроены два пира в IPSec, указаны локальные адреса.

 

Локальные адреса - один фиксированный (на LTE), один динамический - обновляется скриптом в ppp профиле PPPoE,

также можно для модема в режиме PPP сделать.

У меня LTE MF823 в режиме роутера, повесил фикс. адрес на его интерфейс, прописал маршруты на локальные подсети в сам модем. 

 

Дальше две (или больше - сколько пар подсетей хотите связать) IPSec политики, в политиках SA Src. Address обновлять из тех же скриптов. 

У меня еще SA Dst. Address обновляется, т.к. динамический IP на сервере, скриптом, запускаемым из задания шедулера, которое активируется/деактивируется netwatch-ем.

 

Ну а поверх этих IPSec туннелей пускаете, что хотите - IPIP, GRE, EoIP туннели на локальных уже адресах, которые по этим туннелям ходят. 

 

На стороне сервера отдельно настраивать пиров не нужно, достаточно просто включить L2TP сервер. 

Он сам создаст динамический пир на ::/0, т.е. для любых входящих, либо можно такой же пир вручную создать, если L2TP сервер не нужен для прочих клиентов.

 

Также уже должен быть дефолтовый шаблон в политиках, по нему будут политики сами добавляться.

Я еще в шаблоне proposal на свой поменял, в котором оставил один вариант подписи/шифрования - sha1/aes128-cbc.

 

 

Такая картинка получается на сервере при поднятых туннелях, все внешние адреса динамические, 85.115.224.145 - NAT Билайна.

[admin@MikroTik] > /ip ipsec remote-peers print detail 
Flags: R - responder, N - natt-peer 
 0 RN local-address=5.11.XX.YYY port=4500 remote-address=85.115.224.145 port=59640 state=established side=responder uptime=4h27m26s last-seen=1m4s 

 1 RN local-address=5.11.XX.YYY port=4500 remote-address=95.52.XXX.YY port=4500 state=established side=responder uptime=4h27m31s last-seen=1m30s 
[admin@MikroTik] > /ip ipsec policy print detail       
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=pfs template=yes 

 1  DA  src-address=192.168.10.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp 
       tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=95.52.XXX.YY proposal=pfs ph2-count=1 

 2  DA  src-address=172.16.0.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes 
       sa-src-address=5.11.XX.YYY sa-dst-address=85.115.224.145 proposal=pfs ph2-count=1 

 

 

 

Edited March 28, 2018 by McSea

[Smirnovi]

В 29.03.2018 в 00:57, McSea сказал:

На Mikrotik-1 два провайдера - PPPoE и LTE. 

Cделана стандартная маркировка input - output по провайдерам. 

Настроены два пира в IPSec, указаны локальные адреса.

Подскажите пожалуйста как делали с примерами.

нужно с одного микротика два l2tp через разные шлюзы

 

/ip firewall mangle

add action=mark-routing chain=prerouting in-interface=l2tp251 \
    new-routing-mark=for-l2tp251

add action=mark-routing chain=prerouting in-interface=l2tp252 \
    new-routing-mark=for-l2tp252
/ip route
add distance=1 gateway=lte1 routing-mark=for-l2tp251
add distance=1 gateway=lte2 routing-mark=for-l2tp252
 

/ip firewall mangle
add action=mark-connection chain=input in-interface=\
    l2tp251 new-connection-mark=Cl2tp251
add action=mark-routing chain=output connection-mark=Cl2tp251 new-routing-mark=\
    for-l2tp251 passthrough=no

 

add action=mark-connection chain=input in-interface=l2tp252 \
    new-connection-mark=Cl2tp252
add action=mark-routing chain=output connection-mark=Cl2tp252 new-routing-mark=\
    for-l2tp252 passthrough=no

 

Вот все что нарыл - но не работает - идет через один канал и все))

Edited October 22, 2018 by Smirnovi

[McSea]

28 minutes ago, Smirnovi said:

нужно с одного микротика два l2tp через разные шлюзы

Подключение идет к одному серверу (один IP адрес), или двум разным ?

Если к одному, стандартным L2TP клиентом не настроите, там негде указать, какой именно локальный адрес использовать.

Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ?

 

Маркировка, про которую выше писал - обычная стандартная для двух провайдеров.

Т.е. для провайдерских интерфейсов, не для туннельных. 

Edited October 22, 2018 by McSea

[Smirnovi]

1 час назад, McSea сказал:

Подключение идет к одному серверу (один IP адрес), или двум разным ?

к одному 

1 час назад, McSea сказал:

Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ?

клиент и сервер микротик

оно легко создает пару туннелей но идет все по одному линку(

ну хоть както это можно сделать? на ipsec например

или для разных vpn l2tp и pptp

 

https://spw.ru/forum/threads/marshrutizacija-i-interfejsy.534/

вот тут что то %interface может поможет?

Edited October 22, 2018 by Smirnovi

[McSea]

2 hours ago, Smirnovi said:

ну хоть както это можно сделать? на ipsec например

Выше я как раз про IPSec писал, почитайте. Готовый конфиг не дам, т.к. у меня уже нет такого - офис тот переехал и схема изменилась.

 

Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. 

Соответственно, нужны 2 разных локальных адреса на инет интерфейсах.

 

Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. 

Далее также делаем в policy (про настройку IPSec между микротиками почитайте в вики микротика).

 

Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой.

Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать).

И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута".

 

Edited October 22, 2018 by McSea

[Smirnovi]

1 час назад, McSea сказал:

Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. 

Соответственно, нужны 2 разных локальных адреса на инет интерфейсах.

эти лок адреса должны входить в какие нибудь подсети?

то есть этои лок адреса у нас отобразяца в адресах?

[McSea]

1 hour ago, Smirnovi said:

то есть этои лок адреса у нас отобразяца в адресах?

Уже отображаются, т.е. те адреса, что уже есть на инет интерфейсах - они должны быть разные, иначе трафик не разделить.

 

[Smirnovi]

 

 

Вот такая беда - не дает создать второй пир

 

 Exchange mode is the only unique identifier between the peers, meaning that there can be multiple peer configurations with the same remote-address as long as different exchange-mode is used.

Edited October 24, 2018 by Smirnovi

[McSea]

@Smirnovi 

 

On 10/22/2018 at 10:46 PM, McSea said:

Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. 

 

[Smirnovi]

9 минут назад, McSea сказал:

@Smirnovi 

 

В том то и дело что не дает создать даже с разными.

версия ROS последняя.

[McSea]

@Smirnovi 

[Smirnovi]

как раз так и не дает - делаю даже не только лок адресс разным но и любые параметры - подскажите на какой у вас версии микрота так?

а 6.43.4 - это боевой конфиг?

 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf

по этой инструкции делал

плюс это 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#RoadWarrior_client_with_NAT

у меня туннельный режим 

какой у вас?

 

Edited October 24, 2018 by Smirnovi

[McSea]

На скриншоте черным подчеркнута (6.43.4).

[Smirnovi]

/ip ipsec mode-config
set [ find default=yes ] src-address-list=local-RW
/ip firewall address-list
add address=addr/24 list=local-RW
/ip ipsec peer
add address=addr/32 auth-method=pre-shared-key-xauth exchange-mode=\
    ike2 generate-policy=port-strict local-address=addr mode-config=\
    request-only send-initial-contact=no xauth-login=user
 

6.43.2 у меня на hap ac2

[McSea]

@Smirnovi 

Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете.

/ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.1 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345

/ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.2 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345

 

Edited October 24, 2018 by McSea

[Smirnovi]

*) ipsec - allow multiple peers to the same address with different local-address (introduced in v6.43)

 

ураааа ! это победа - из последнего чейджлога What's new in 6.43.4 (2018-Oct-17 06:37):

[McSea]

Понятно, баг добавили в 6.43, в более ранних версияx его не было. 

А я для проверки поставил последнюю 6.43.4, где это уже поправили.

 

Вообще же для работы использую только bugfix-only версии (последняя 6.42.9) там таких косяков (как правило) не бывает. 

 

Edited October 24, 2018 by McSea

[Smirnovi]

1 час назад, McSea сказал:

Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете.

хыы весело - из консоли дает создать а из винбокса ругаеца на айпи адресс

[Smirnovi]

В 22.10.2018 в 23:46, McSea сказал:

Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой.

Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать).

И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута".

не выходит с ip routes rules 

или я что та недопонимаю

подскажите пожалуйста как прописать

и манглы если возможно

так https://nixman.info/?p=133

или так https://vasilevkirill.com/MikroTik/1/

Edited October 24, 2018 by Smirnovi

[McSea]

21 hours ago, Smirnovi said:

не выходит с ip routes rules 

Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные).