zhekius Posted February 10, 2018 Posted February 10, 2018 Добрый день, товарищи! В наличии Mikrotik-1. На нем выход на два WAN1 и WAN2 (Lte и Wi-Fi). Созданы два L2TP клиента (l2tp-out1 и l2tp-out2) на адрес 1.2.3.4 В интернете расположен другой Mikrotik-2 со статичным IP (1.2.3.4), на котором поднят L2TP сервер и ждет коннектов от Mikrotik-1. Задача: Направить l2tp-out1 на Wan1 (Lte) Направить l2tp-out2 на Wan2 (Wi-Fi) Важно! адрес только один, и одно l2tp - один Wan. Очень жду помощи. Любой. Спасибо. Вставить ник Quote
alibek Posted February 11, 2018 Posted February 11, 2018 11 часов назад, zhekius сказал: Очень жду помощи. Любой. Вы там держитесь. Хорошего вам настроения. В чем вопрос то? Если настроить горячий резерв, то нужно задать метрики. Если нужна агрегация каналов, то этого не сделать. Вставить ник Quote
nkusnetsov Posted February 11, 2018 Posted February 11, 2018 @zhekius , Вам нужно использовать разные протоколы для туннелей. Например, l2tp для первого и sstp для второго. Дальше элементарно решается маркировкой исходящих пакетов и альтернативной таблицей маршрутизации. Оба канала можно использовать хоть одновременно, хоть по отдельности. Вставить ник Quote
zhekius Posted February 11, 2018 Author Posted February 11, 2018 @nkusnetsov Сделали так. В принципе... Работает. А если я третий интерфейс подцеплю? В целом, решили остановиться на SSTP, т.к. там есть привязка по порту. Но если есть у кого идеи по поводу L2TP или PPTP или OVPN, то будут признателен за рекомендации. Вот, схемку получше обозначил, чтобы было понятнее... Вставить ник Quote
DAF Posted February 16, 2018 Posted February 16, 2018 В похожей задаче я "поделил" Mikrotik-1 пополам (MetaROUTER - классная вещь!). Оба туннеля на протоколе SSTP. Для sstp1 port=443, для sstp2 port=444. В /firewall nat Mikrotik-2 редирект 444->443. 3-й год полёт нормальный. Вставить ник Quote
McSea Posted March 28, 2018 Posted March 28, 2018 (edited) @zhekius Настраивал практически такую схему, только у меня Mikrotik-2 (где L2TP сервер) с динамическим IP. На Mikrotik-1 два провайдера - PPPoE и LTE. Cделана стандартная маркировка input - output по провайдерам. Настроены два пира в IPSec, указаны локальные адреса. Локальные адреса - один фиксированный (на LTE), один динамический - обновляется скриптом в ppp профиле PPPoE, также можно для модема в режиме PPP сделать. У меня LTE MF823 в режиме роутера, повесил фикс. адрес на его интерфейс, прописал маршруты на локальные подсети в сам модем. Дальше две (или больше - сколько пар подсетей хотите связать) IPSec политики, в политиках SA Src. Address обновлять из тех же скриптов. У меня еще SA Dst. Address обновляется, т.к. динамический IP на сервере, скриптом, запускаемым из задания шедулера, которое активируется/деактивируется netwatch-ем. Ну а поверх этих IPSec туннелей пускаете, что хотите - IPIP, GRE, EoIP туннели на локальных уже адресах, которые по этим туннелям ходят. На стороне сервера отдельно настраивать пиров не нужно, достаточно просто включить L2TP сервер. Он сам создаст динамический пир на ::/0, т.е. для любых входящих, либо можно такой же пир вручную создать, если L2TP сервер не нужен для прочих клиентов. Также уже должен быть дефолтовый шаблон в политиках, по нему будут политики сами добавляться. Я еще в шаблоне proposal на свой поменял, в котором оставил один вариант подписи/шифрования - sha1/aes128-cbc. Такая картинка получается на сервере при поднятых туннелях, все внешние адреса динамические, 85.115.224.145 - NAT Билайна. [admin@MikroTik] > /ip ipsec remote-peers print detail Flags: R - responder, N - natt-peer 0 RN local-address=5.11.XX.YYY port=4500 remote-address=85.115.224.145 port=59640 state=established side=responder uptime=4h27m26s last-seen=1m4s 1 RN local-address=5.11.XX.YYY port=4500 remote-address=95.52.XXX.YY port=4500 state=established side=responder uptime=4h27m31s last-seen=1m30s [admin@MikroTik] > /ip ipsec policy print detail Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=pfs template=yes 1 DA src-address=192.168.10.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=95.52.XXX.YY proposal=pfs ph2-count=1 2 DA src-address=172.16.0.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=85.115.224.145 proposal=pfs ph2-count=1 Edited March 28, 2018 by McSea Вставить ник Quote
Smirnovi Posted October 22, 2018 Posted October 22, 2018 (edited) В 29.03.2018 в 00:57, McSea сказал: На Mikrotik-1 два провайдера - PPPoE и LTE. Cделана стандартная маркировка input - output по провайдерам. Настроены два пира в IPSec, указаны локальные адреса. Подскажите пожалуйста как делали с примерами. нужно с одного микротика два l2tp через разные шлюзы /ip firewall mangle add action=mark-routing chain=prerouting in-interface=l2tp251 \ new-routing-mark=for-l2tp251 add action=mark-routing chain=prerouting in-interface=l2tp252 \ new-routing-mark=for-l2tp252 /ip route add distance=1 gateway=lte1 routing-mark=for-l2tp251 add distance=1 gateway=lte2 routing-mark=for-l2tp252 /ip firewall mangle add action=mark-connection chain=input in-interface=\ l2tp251 new-connection-mark=Cl2tp251 add action=mark-routing chain=output connection-mark=Cl2tp251 new-routing-mark=\ for-l2tp251 passthrough=no add action=mark-connection chain=input in-interface=l2tp252 \ new-connection-mark=Cl2tp252 add action=mark-routing chain=output connection-mark=Cl2tp252 new-routing-mark=\ for-l2tp252 passthrough=no Вот все что нарыл - но не работает - идет через один канал и все)) Edited October 22, 2018 by Smirnovi Вставить ник Quote
McSea Posted October 22, 2018 Posted October 22, 2018 (edited) 28 minutes ago, Smirnovi said: нужно с одного микротика два l2tp через разные шлюзы Подключение идет к одному серверу (один IP адрес), или двум разным ? Если к одному, стандартным L2TP клиентом не настроите, там негде указать, какой именно локальный адрес использовать. Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ? Маркировка, про которую выше писал - обычная стандартная для двух провайдеров. Т.е. для провайдерских интерфейсов, не для туннельных. Edited October 22, 2018 by McSea Вставить ник Quote
Smirnovi Posted October 22, 2018 Posted October 22, 2018 (edited) 1 час назад, McSea сказал: Подключение идет к одному серверу (один IP адрес), или двум разным ? к одному 1 час назад, McSea сказал: Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ? клиент и сервер микротик оно легко создает пару туннелей но идет все по одному линку( ну хоть както это можно сделать? на ipsec например или для разных vpn l2tp и pptp https://spw.ru/forum/threads/marshrutizacija-i-interfejsy.534/ вот тут что то %interface может поможет? Edited October 22, 2018 by Smirnovi Вставить ник Quote
McSea Posted October 22, 2018 Posted October 22, 2018 (edited) 2 hours ago, Smirnovi said: ну хоть както это можно сделать? на ipsec например Выше я как раз про IPSec писал, почитайте. Готовый конфиг не дам, т.к. у меня уже нет такого - офис тот переехал и схема изменилась. Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. Соответственно, нужны 2 разных локальных адреса на инет интерфейсах. Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. Далее также делаем в policy (про настройку IPSec между микротиками почитайте в вики микротика). Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой. Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать). И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута". Edited October 22, 2018 by McSea Вставить ник Quote
Smirnovi Posted October 22, 2018 Posted October 22, 2018 1 час назад, McSea сказал: Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. Соответственно, нужны 2 разных локальных адреса на инет интерфейсах. эти лок адреса должны входить в какие нибудь подсети? то есть этои лок адреса у нас отобразяца в адресах? Вставить ник Quote
McSea Posted October 22, 2018 Posted October 22, 2018 1 hour ago, Smirnovi said: то есть этои лок адреса у нас отобразяца в адресах? Уже отображаются, т.е. те адреса, что уже есть на инет интерфейсах - они должны быть разные, иначе трафик не разделить. Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 (edited) Вот такая беда - не дает создать второй пир Exchange mode is the only unique identifier between the peers, meaning that there can be multiple peer configurations with the same remote-address as long as different exchange-mode is used. Edited October 24, 2018 by Smirnovi Вставить ник Quote
McSea Posted October 24, 2018 Posted October 24, 2018 @Smirnovi On 10/22/2018 at 10:46 PM, McSea said: Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 9 минут назад, McSea сказал: @Smirnovi В том то и дело что не дает создать даже с разными. версия ROS последняя. Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 (edited) как раз так и не дает - делаю даже не только лок адресс разным но и любые параметры - подскажите на какой у вас версии микрота так? а 6.43.4 - это боевой конфиг? https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf по этой инструкции делал плюс это https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#RoadWarrior_client_with_NAT у меня туннельный режим какой у вас? Edited October 24, 2018 by Smirnovi Вставить ник Quote
McSea Posted October 24, 2018 Posted October 24, 2018 На скриншоте черным подчеркнута (6.43.4). Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 /ip ipsec mode-config set [ find default=yes ] src-address-list=local-RW /ip firewall address-list add address=addr/24 list=local-RW /ip ipsec peer add address=addr/32 auth-method=pre-shared-key-xauth exchange-mode=\ ike2 generate-policy=port-strict local-address=addr mode-config=\ request-only send-initial-contact=no xauth-login=user 6.43.2 у меня на hap ac2 Вставить ник Quote
McSea Posted October 24, 2018 Posted October 24, 2018 (edited) @Smirnovi Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете. /ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.1 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345 /ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.2 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345 Edited October 24, 2018 by McSea Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 *) ipsec - allow multiple peers to the same address with different local-address (introduced in v6.43) ураааа ! это победа - из последнего чейджлога What's new in 6.43.4 (2018-Oct-17 06:37): Вставить ник Quote
McSea Posted October 24, 2018 Posted October 24, 2018 (edited) Понятно, баг добавили в 6.43, в более ранних версияx его не было. А я для проверки поставил последнюю 6.43.4, где это уже поправили. Вообще же для работы использую только bugfix-only версии (последняя 6.42.9) там таких косяков (как правило) не бывает. Edited October 24, 2018 by McSea Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 1 час назад, McSea сказал: Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете. хыы весело - из консоли дает создать а из винбокса ругаеца на айпи адресс Вставить ник Quote
Smirnovi Posted October 24, 2018 Posted October 24, 2018 (edited) В 22.10.2018 в 23:46, McSea сказал: Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой. Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать). И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута". не выходит с ip routes rules или я что та недопонимаю подскажите пожалуйста как прописать и манглы если возможно так https://nixman.info/?p=133 или так https://vasilevkirill.com/MikroTik/1/ Edited October 24, 2018 by Smirnovi Вставить ник Quote
McSea Posted October 25, 2018 Posted October 25, 2018 21 hours ago, Smirnovi said: не выходит с ip routes rules Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные). Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.