sharik987 Posted August 28, 2018 · Report post Здравствуйте. Есть два провайдера, настроены в резервировании, основной и включаемый резервный канал только в случае отключения основного. Везде белые ip. К данному микротику подключается еще несколько филиалов по GRE + IPSec каналу. Как организовать что бы в случае отключения Основного канала, связь с филиалами не терялась? Share this post Link to post Share on other sites
crank Posted August 28, 2018 · Report post 1. Настроить по два туннеля в каждом филиале. При такой схеме в одно время будет поднят только один из них. 2. Скриптами. Например, менять IP главного офиса в настройках туннеля в филиалах Share this post Link to post Share on other sites
nkusnetsov Posted August 28, 2018 · Report post Резервный канал полностью не отключать. IPSEC УБРАТЬ ВНУТРЬ ТУННЕЛЕЙ и разделить туннели маршрутизируя в мир по-протокольно: Провайдер-1 GRE+IPSEC Провайдер-2 IPIP+IPSEC Поднять внутри OSPF задав цену интерфейса через IPIP туннель выше, тогда он почти не будет использоваться до падения провайдера-1. Share this post Link to post Share on other sites
Saab95 Posted August 29, 2018 · Report post Нужно поставить по микротику на каждый внешний канал. С каждого поднять перекрестные туннели на адреса другого офиса. Всего будет 4 туннеля. Поверх поднимаете OSPF и все прекрасно будет само резервироваться. Share this post Link to post Share on other sites
sharik987 Posted September 12, 2018 · Report post Прочитал ваши посты, спасибо всем. Решил, и в принципе сейчас уже сделал как указанно у вас всех, но не допилил. Поставил два микротика, на каждый завел свой ISP. Наcтроил VRRP между ними, являются у друг дружки Бэкапами. Но пока не проверялось вся эта система. У меня вопрос по поводу VRRP и VLAN с бриджами. На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2 1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24? 2. VRRP интерфейс необходимо создавать на Бридже в моём случае? 3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения? @nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) @Saab95 @crank При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась... Share this post Link to post Share on other sites
crank Posted September 13, 2018 · Report post 14 часов назад, sharik987 сказал: На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2 1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24? 2. VRRP интерфейс необходимо создавать на Бридже в моём случае? 3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения? Нарисуйте лучше схему. Если у вас в каждом филиале и главном офисе по одному микротику и больше никакого оборудования типа управляемых свичей нет, то не понятно совсем зачем вам vlan'ы. По VRRP. Он создаётся на интерфейсах той сети, для которой настраиваете резервирование. Скажем если у вас сеть 192.168.10.0/24, то адреса микротиков должны быть 2 и 3, а адрес интерфейса VRRP - 1. 14 часов назад, sharik987 сказал: При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась... Если именно про маршрутизацию, то настройте лучше OSPF. Share this post Link to post Share on other sites
nkusnetsov Posted September 13, 2018 (edited) · Report post 16 часов назад, sharik987 сказал: @nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) Убирание IPSec внутрь туннелей позволяет на слабых роутерах не поддерживающих аппаратное ускорение криптографии IPSec шифровать не весь трафик, а выборочно. Например шифровать только SIP/UDP и не шифровать SMB. Отсутствие шифрования "не критичных к секретности" потоков данных позволит сэкономить ресурсы процессора. Разделние по протоколам - один туннель IPIP, второй GRE, в случае с двумя провайдерами позволяет легко маркировать в mangle исходящий туннелирующий трафик по признаку протокола и корректно отправлять его в разные таблицы маршрутизации, через двух разных провайдеров. Кроме того, бывает, что провайдеры режут протокол GRE, а до IPIP у них руки не доходят. Edited September 13, 2018 by nkusnetsov Share this post Link to post Share on other sites
.png.ab91e50800b6e33188f8e588605101a4.png)