Перейти к содержимому
Калькуляторы

Добрый день, товарищи!

В наличии Mikrotik-1. На нем выход на два WAN1 и WAN2 (Lte и Wi-Fi). Созданы два L2TP клиента (l2tp-out1 и l2tp-out2) на адрес 1.2.3.4

В интернете расположен другой Mikrotik-2 со статичным IP (1.2.3.4), на котором поднят L2TP сервер и ждет коннектов от Mikrotik-1.

Задача: 

Направить l2tp-out1 на Wan1 (Lte)

Направить l2tp-out2 на Wan2 (Wi-Fi)

Важно! адрес только один, и одно l2tp - один Wan.

Очень жду помощи. Любой. Спасибо. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, zhekius сказал:

Очень жду помощи. Любой.

Вы там держитесь. Хорошего вам настроения.

 

В чем вопрос то?

Если настроить горячий резерв, то нужно задать метрики.

Если нужна агрегация каналов, то этого не сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@zhekius , Вам нужно использовать разные протоколы для туннелей. Например, l2tp для первого и sstp для второго.
Дальше элементарно решается маркировкой исходящих пакетов и альтернативной таблицей маршрутизации.

Оба канала можно использовать хоть одновременно, хоть по отдельности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nkusnetsov Сделали так. В принципе... Работает. 

А если я третий интерфейс подцеплю? В целом, решили остановиться на SSTP, т.к. там есть привязка по порту.

Но если есть у кого идеи по поводу L2TP или PPTP или OVPN, то будут признателен за рекомендации. 

Вот,  схемку получше обозначил, чтобы было понятнее...

2 USB.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В похожей задаче я "поделил" Mikrotik-1 пополам (MetaROUTER - классная вещь!).

Оба туннеля на протоколе SSTP.

Для sstp1 port=443, для sstp2 port=444. 

В /firewall nat Mikrotik-2 редирект 444->443. 

3-й год полёт нормальный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@zhekius 

 

 Настраивал практически такую схему, только у меня Mikrotik-2 (где L2TP сервер) с динамическим IP. 

 

На Mikrotik-1 два провайдера - PPPoE и LTE. 

Cделана стандартная маркировка input - output по провайдерам. 

Настроены два пира в IPSec, указаны локальные адреса.

 

Локальные адреса - один фиксированный (на LTE), один динамический - обновляется скриптом в ppp профиле PPPoE,

также можно для модема в режиме PPP сделать.

У меня LTE MF823 в режиме роутера, повесил фикс. адрес на его интерфейс, прописал маршруты на локальные подсети в сам модем. 

 

Дальше две (или больше - сколько пар подсетей хотите связать) IPSec политики, в политиках SA Src. Address обновлять из тех же скриптов. 

У меня еще SA Dst. Address обновляется, т.к. динамический IP на сервере, скриптом, запускаемым из задания шедулера, которое активируется/деактивируется netwatch-ем.

 

Ну а поверх этих IPSec туннелей пускаете, что хотите - IPIP, GRE, EoIP туннели на локальных уже адресах, которые по этим туннелям ходят. 

 

На стороне сервера отдельно настраивать пиров не нужно, достаточно просто включить L2TP сервер. 

Он сам создаст динамический пир на ::/0, т.е. для любых входящих, либо можно такой же пир вручную создать, если L2TP сервер не нужен для прочих клиентов.

 

Также уже должен быть дефолтовый шаблон в политиках, по нему будут политики сами добавляться.

Я еще в шаблоне proposal на свой поменял, в котором оставил один вариант подписи/шифрования - sha1/aes128-cbc.

 

 

Такая картинка получается на сервере при поднятых туннелях, все внешние адреса динамические, 85.115.224.145 - NAT Билайна.

[admin@MikroTik] > /ip ipsec remote-peers print detail 
Flags: R - responder, N - natt-peer 
 0 RN local-address=5.11.XX.YYY port=4500 remote-address=85.115.224.145 port=59640 state=established side=responder uptime=4h27m26s last-seen=1m4s 

 1 RN local-address=5.11.XX.YYY port=4500 remote-address=95.52.XXX.YY port=4500 state=established side=responder uptime=4h27m31s last-seen=1m30s 
[admin@MikroTik] > /ip ipsec policy print detail       
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=pfs template=yes 

 1  DA  src-address=192.168.10.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp 
       tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=95.52.XXX.YY proposal=pfs ph2-count=1 

 2  DA  src-address=172.16.0.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes 
       sa-src-address=5.11.XX.YYY sa-dst-address=85.115.224.145 proposal=pfs ph2-count=1 

 

 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.03.2018 в 00:57, McSea сказал:

На Mikrotik-1 два провайдера - PPPoE и LTE. 

Cделана стандартная маркировка input - output по провайдерам. 

Настроены два пира в IPSec, указаны локальные адреса.

Подскажите пожалуйста как делали с примерами.

нужно с одного микротика два l2tp через разные шлюзы

 

/ip firewall mangle

add action=mark-routing chain=prerouting in-interface=l2tp251 \
    new-routing-mark=for-l2tp251

add action=mark-routing chain=prerouting in-interface=l2tp252 \
    new-routing-mark=for-l2tp252
/ip route
add distance=1 gateway=lte1 routing-mark=for-l2tp251
add distance=1 gateway=lte2 routing-mark=for-l2tp252
 

/ip firewall mangle
add action=mark-connection chain=input in-interface=\
    l2tp251 new-connection-mark=Cl2tp251
add action=mark-routing chain=output connection-mark=Cl2tp251 new-routing-mark=\
    for-l2tp251 passthrough=no

 

add action=mark-connection chain=input in-interface=l2tp252 \
    new-connection-mark=Cl2tp252
add action=mark-routing chain=output connection-mark=Cl2tp252 new-routing-mark=\
    for-l2tp252 passthrough=no

 

Вот все что нарыл - но не работает - идет через один канал и все))

Изменено пользователем Smirnovi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

28 minutes ago, Smirnovi said:

нужно с одного микротика два l2tp через разные шлюзы

Подключение идет к одному серверу (один IP адрес), или двум разным ?

Если к одному, стандартным L2TP клиентом не настроите, там негде указать, какой именно локальный адрес использовать.

Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ?

 

Маркировка, про которую выше писал - обычная стандартная для двух провайдеров.

Т.е. для провайдерских интерфейсов, не для туннельных. 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, McSea сказал:

Подключение идет к одному серверу (один IP адрес), или двум разным ?

к одному 

1 час назад, McSea сказал:

Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ?

клиент и сервер микротик

оно легко создает пару туннелей но идет все по одному линку(

ну хоть както это можно сделать? на ipsec например

или для разных vpn l2tp и pptp

 

https://spw.ru/forum/threads/marshrutizacija-i-interfejsy.534/

вот тут что то %interface может поможет?

Изменено пользователем Smirnovi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, Smirnovi said:

ну хоть както это можно сделать? на ipsec например

Выше я как раз про IPSec писал, почитайте. Готовый конфиг не дам, т.к. у меня уже нет такого - офис тот переехал и схема изменилась.

 

Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. 

Соответственно, нужны 2 разных локальных адреса на инет интерфейсах.

 

Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. 

Далее также делаем в policy (про настройку IPSec между микротиками почитайте в вики микротика).

 

Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой.

Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать).

И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута".

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, McSea сказал:

Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. 

Соответственно, нужны 2 разных локальных адреса на инет интерфейсах.

эти лок адреса должны входить в какие нибудь подсети?

то есть этои лок адреса у нас отобразяца в адресах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, Smirnovi said:

то есть этои лок адреса у нас отобразяца в адресах?

Уже отображаются, т.е. те адреса, что уже есть на инет интерфейсах - они должны быть разные, иначе трафик не разделить.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

mikrotik.thumb.png.d3c568e6e52255f0f0b74514a03f5f2d.png

 

Вот такая беда - не дает создать второй пир

 

 Exchange mode is the only unique identifier between the peers, meaning that there can be multiple peer configurations with the same remote-address as long as different exchange-mode is used.

Изменено пользователем Smirnovi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Smirnovi 

 

On 10/22/2018 at 10:46 PM, McSea said:

Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, McSea сказал:

@Smirnovi 

 

В том то и дело что не дает создать даже с разными.

версия ROS последняя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как раз так и не дает - делаю даже не только лок адресс разным но и любые параметры - подскажите на какой у вас версии микрота так?

а 6.43.4 - это боевой конфиг?

 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf

по этой инструкции делал

плюс это 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#RoadWarrior_client_with_NAT

у меня туннельный режим 

какой у вас?

 

Изменено пользователем Smirnovi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На скриншоте черным подчеркнута (6.43.4).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip ipsec mode-config
set [ find default=yes ] src-address-list=local-RW
/ip firewall address-list
add address=addr/24 list=local-RW
/ip ipsec peer
add address=addr/32 auth-method=pre-shared-key-xauth exchange-mode=\
    ike2 generate-policy=port-strict local-address=addr mode-config=\
    request-only send-initial-contact=no xauth-login=user
 

6.43.2 у меня на hap ac2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Smirnovi 

Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете.

/ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.1 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345

/ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.2 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

*) ipsec - allow multiple peers to the same address with different local-address (introduced in v6.43)

 

ураааа ! это победа - из последнего чейджлога What's new in 6.43.4 (2018-Oct-17 06:37):

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понятно, баг добавили в 6.43, в более ранних версияx его не было. 

А я для проверки поставил последнюю 6.43.4, где это уже поправили.

 

Вообще же для работы использую только bugfix-only версии (последняя 6.42.9) там таких косяков (как правило) не бывает. 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, McSea сказал:

Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете.



 

хыы весело - из консоли дает создать а из винбокса ругаеца на айпи адресс

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.10.2018 в 23:46, McSea сказал:

Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой.

Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать).

И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута".

не выходит с ip routes rules 

или я что та недопонимаю

подскажите пожалуйста как прописать

и манглы если возможно

так https://nixman.info/?p=133

или так https://vasilevkirill.com/MikroTik/1/

Изменено пользователем Smirnovi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 hours ago, Smirnovi said:

не выходит с ip routes rules 

Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.