zhekius Опубликовано 10 февраля, 2018 · Жалоба Добрый день, товарищи! В наличии Mikrotik-1. На нем выход на два WAN1 и WAN2 (Lte и Wi-Fi). Созданы два L2TP клиента (l2tp-out1 и l2tp-out2) на адрес 1.2.3.4 В интернете расположен другой Mikrotik-2 со статичным IP (1.2.3.4), на котором поднят L2TP сервер и ждет коннектов от Mikrotik-1. Задача: Направить l2tp-out1 на Wan1 (Lte) Направить l2tp-out2 на Wan2 (Wi-Fi) Важно! адрес только один, и одно l2tp - один Wan. Очень жду помощи. Любой. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 февраля, 2018 · Жалоба 11 часов назад, zhekius сказал: Очень жду помощи. Любой. Вы там держитесь. Хорошего вам настроения. В чем вопрос то? Если настроить горячий резерв, то нужно задать метрики. Если нужна агрегация каналов, то этого не сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 11 февраля, 2018 · Жалоба @zhekius , Вам нужно использовать разные протоколы для туннелей. Например, l2tp для первого и sstp для второго. Дальше элементарно решается маркировкой исходящих пакетов и альтернативной таблицей маршрутизации. Оба канала можно использовать хоть одновременно, хоть по отдельности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhekius Опубликовано 11 февраля, 2018 · Жалоба @nkusnetsov Сделали так. В принципе... Работает. А если я третий интерфейс подцеплю? В целом, решили остановиться на SSTP, т.к. там есть привязка по порту. Но если есть у кого идеи по поводу L2TP или PPTP или OVPN, то будут признателен за рекомендации. Вот, схемку получше обозначил, чтобы было понятнее... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 16 февраля, 2018 · Жалоба В похожей задаче я "поделил" Mikrotik-1 пополам (MetaROUTER - классная вещь!). Оба туннеля на протоколе SSTP. Для sstp1 port=443, для sstp2 port=444. В /firewall nat Mikrotik-2 редирект 444->443. 3-й год полёт нормальный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 28 марта, 2018 (изменено) · Жалоба @zhekius Настраивал практически такую схему, только у меня Mikrotik-2 (где L2TP сервер) с динамическим IP. На Mikrotik-1 два провайдера - PPPoE и LTE. Cделана стандартная маркировка input - output по провайдерам. Настроены два пира в IPSec, указаны локальные адреса. Локальные адреса - один фиксированный (на LTE), один динамический - обновляется скриптом в ppp профиле PPPoE, также можно для модема в режиме PPP сделать. У меня LTE MF823 в режиме роутера, повесил фикс. адрес на его интерфейс, прописал маршруты на локальные подсети в сам модем. Дальше две (или больше - сколько пар подсетей хотите связать) IPSec политики, в политиках SA Src. Address обновлять из тех же скриптов. У меня еще SA Dst. Address обновляется, т.к. динамический IP на сервере, скриптом, запускаемым из задания шедулера, которое активируется/деактивируется netwatch-ем. Ну а поверх этих IPSec туннелей пускаете, что хотите - IPIP, GRE, EoIP туннели на локальных уже адресах, которые по этим туннелям ходят. На стороне сервера отдельно настраивать пиров не нужно, достаточно просто включить L2TP сервер. Он сам создаст динамический пир на ::/0, т.е. для любых входящих, либо можно такой же пир вручную создать, если L2TP сервер не нужен для прочих клиентов. Также уже должен быть дефолтовый шаблон в политиках, по нему будут политики сами добавляться. Я еще в шаблоне proposal на свой поменял, в котором оставил один вариант подписи/шифрования - sha1/aes128-cbc. Такая картинка получается на сервере при поднятых туннелях, все внешние адреса динамические, 85.115.224.145 - NAT Билайна. [admin@MikroTik] > /ip ipsec remote-peers print detail Flags: R - responder, N - natt-peer 0 RN local-address=5.11.XX.YYY port=4500 remote-address=85.115.224.145 port=59640 state=established side=responder uptime=4h27m26s last-seen=1m4s 1 RN local-address=5.11.XX.YYY port=4500 remote-address=95.52.XXX.YY port=4500 state=established side=responder uptime=4h27m31s last-seen=1m30s [admin@MikroTik] > /ip ipsec policy print detail Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=pfs template=yes 1 DA src-address=192.168.10.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=95.52.XXX.YY proposal=pfs ph2-count=1 2 DA src-address=172.16.0.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=5.11.XX.YYY sa-dst-address=85.115.224.145 proposal=pfs ph2-count=1 Изменено 28 марта, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 22 октября, 2018 (изменено) · Жалоба В 29.03.2018 в 00:57, McSea сказал: На Mikrotik-1 два провайдера - PPPoE и LTE. Cделана стандартная маркировка input - output по провайдерам. Настроены два пира в IPSec, указаны локальные адреса. Подскажите пожалуйста как делали с примерами. нужно с одного микротика два l2tp через разные шлюзы /ip firewall mangle add action=mark-routing chain=prerouting in-interface=l2tp251 \ new-routing-mark=for-l2tp251 add action=mark-routing chain=prerouting in-interface=l2tp252 \ new-routing-mark=for-l2tp252 /ip route add distance=1 gateway=lte1 routing-mark=for-l2tp251 add distance=1 gateway=lte2 routing-mark=for-l2tp252 /ip firewall mangle add action=mark-connection chain=input in-interface=\ l2tp251 new-connection-mark=Cl2tp251 add action=mark-routing chain=output connection-mark=Cl2tp251 new-routing-mark=\ for-l2tp251 passthrough=no add action=mark-connection chain=input in-interface=l2tp252 \ new-connection-mark=Cl2tp252 add action=mark-routing chain=output connection-mark=Cl2tp252 new-routing-mark=\ for-l2tp252 passthrough=no Вот все что нарыл - но не работает - идет через один канал и все)) Изменено 22 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 22 октября, 2018 (изменено) · Жалоба 28 minutes ago, Smirnovi said: нужно с одного микротика два l2tp через разные шлюзы Подключение идет к одному серверу (один IP адрес), или двум разным ? Если к одному, стандартным L2TP клиентом не настроите, там негде указать, какой именно локальный адрес использовать. Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ? Маркировка, про которую выше писал - обычная стандартная для двух провайдеров. Т.е. для провайдерских интерфейсов, не для туннельных. Изменено 22 октября, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 22 октября, 2018 (изменено) · Жалоба 1 час назад, McSea сказал: Подключение идет к одному серверу (один IP адрес), или двум разным ? к одному 1 час назад, McSea сказал: Т.е. надо отдельно настроить IPSec, сервер у вас на чем, тоже микротик ? клиент и сервер микротик оно легко создает пару туннелей но идет все по одному линку( ну хоть както это можно сделать? на ipsec например или для разных vpn l2tp и pptp https://spw.ru/forum/threads/marshrutizacija-i-interfejsy.534/ вот тут что то %interface может поможет? Изменено 22 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 22 октября, 2018 (изменено) · Жалоба 2 hours ago, Smirnovi said: ну хоть както это можно сделать? на ipsec например Выше я как раз про IPSec писал, почитайте. Готовый конфиг не дам, т.к. у меня уже нет такого - офис тот переехал и схема изменилась. Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. Соответственно, нужны 2 разных локальных адреса на инет интерфейсах. Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. Далее также делаем в policy (про настройку IPSec между микротиками почитайте в вики микротика). Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой. Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать). И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута". Изменено 22 октября, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 22 октября, 2018 · Жалоба 1 час назад, McSea сказал: Идея в том, что в IPSec peer-ах прописывается как адрес сервера, так и локальный адрес. Соответственно, нужны 2 разных локальных адреса на инет интерфейсах. эти лок адреса должны входить в какие нибудь подсети? то есть этои лок адреса у нас отобразяца в адресах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 22 октября, 2018 · Жалоба 1 hour ago, Smirnovi said: то есть этои лок адреса у нас отобразяца в адресах? Уже отображаются, т.е. те адреса, что уже есть на инет интерфейсах - они должны быть разные, иначе трафик не разделить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 (изменено) · Жалоба Вот такая беда - не дает создать второй пир Exchange mode is the only unique identifier between the peers, meaning that there can be multiple peer configurations with the same remote-address as long as different exchange-mode is used. Изменено 24 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 24 октября, 2018 · Жалоба @Smirnovi On 10/22/2018 at 10:46 PM, McSea said: Создаем два пира с разными локальными адресами - с одного и другого инет интерфейса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 · Жалоба 9 минут назад, McSea сказал: @Smirnovi В том то и дело что не дает создать даже с разными. версия ROS последняя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 24 октября, 2018 · Жалоба @Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 (изменено) · Жалоба как раз так и не дает - делаю даже не только лок адресс разным но и любые параметры - подскажите на какой у вас версии микрота так? а 6.43.4 - это боевой конфиг? https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf по этой инструкции делал плюс это https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#RoadWarrior_client_with_NAT у меня туннельный режим какой у вас? Изменено 24 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 24 октября, 2018 · Жалоба На скриншоте черным подчеркнута (6.43.4). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 · Жалоба /ip ipsec mode-config set [ find default=yes ] src-address-list=local-RW /ip firewall address-list add address=addr/24 list=local-RW /ip ipsec peer add address=addr/32 auth-method=pre-shared-key-xauth exchange-mode=\ ike2 generate-policy=port-strict local-address=addr mode-config=\ request-only send-initial-contact=no xauth-login=user 6.43.2 у меня на hap ac2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 24 октября, 2018 (изменено) · Жалоба @Smirnovi Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете. /ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.1 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345 /ip ipsec peer add address=192.168.100.100 auth-method=pre-shared-key-xauth secret=12345 exchange-mode=ike2 generate-policy=port-strict local-address=192.168.10.2 mode-config=request-only send-initial-contact=no xauth-login=user xauth-password=12345 Изменено 24 октября, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 · Жалоба *) ipsec - allow multiple peers to the same address with different local-address (introduced in v6.43) ураааа ! это победа - из последнего чейджлога What's new in 6.43.4 (2018-Oct-17 06:37): Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 24 октября, 2018 (изменено) · Жалоба Понятно, баг добавили в 6.43, в более ранних версияx его не было. А я для проверки поставил последнюю 6.43.4, где это уже поправили. Вообще же для работы использую только bugfix-only версии (последняя 6.42.9) там таких косяков (как правило) не бывает. Изменено 24 октября, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 · Жалоба 1 час назад, McSea сказал: Выполните эти команды, ничего не меняя, создадутся два пира. Адреса, пароли потом поменяете. хыы весело - из консоли дает создать а из винбокса ругаеца на айпи адресс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 24 октября, 2018 (изменено) · Жалоба В 22.10.2018 в 23:46, McSea сказал: Потом нужно направить трафик с одним src адресом через один шлюз, а со вторым - через другой. Тут нужны два маршрута с метками, типа как вы выше написали (только шлюзом лучше IP адрес указать). И либо mangle правила, либо, проще, два правила в IP - Routes - Rules, направляющие трафик по src адресу в нужную таблицу маршрутизации = "метка нужного маршрута". не выходит с ip routes rules или я что та недопонимаю подскажите пожалуйста как прописать и манглы если возможно так https://nixman.info/?p=133 или так https://vasilevkirill.com/MikroTik/1/ Изменено 24 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 25 октября, 2018 · Жалоба 21 hours ago, Smirnovi said: не выходит с ip routes rules Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...