sharik987 Posted August 28, 2018 Здравствуйте. Есть два провайдера, настроены в резервировании, основной и включаемый резервный канал только в случае отключения основного. Везде белые ip. К данному микротику подключается еще несколько филиалов по GRE + IPSec каналу. Как организовать что бы в случае отключения Основного канала, связь с филиалами не терялась? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted August 28, 2018 1. Настроить по два туннеля в каждом филиале. При такой схеме в одно время будет поднят только один из них. 2. Скриптами. Например, менять IP главного офиса в настройках туннеля в филиалах Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted August 28, 2018 Резервный канал полностью не отключать. IPSEC УБРАТЬ ВНУТРЬ ТУННЕЛЕЙ и разделить туннели маршрутизируя в мир по-протокольно: Провайдер-1 GRE+IPSEC Провайдер-2 IPIP+IPSEC Поднять внутри OSPF задав цену интерфейса через IPIP туннель выше, тогда он почти не будет использоваться до падения провайдера-1. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 29, 2018 Нужно поставить по микротику на каждый внешний канал. С каждого поднять перекрестные туннели на адреса другого офиса. Всего будет 4 туннеля. Поверх поднимаете OSPF и все прекрасно будет само резервироваться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sharik987 Posted September 12, 2018 Прочитал ваши посты, спасибо всем. Решил, и в принципе сейчас уже сделал как указанно у вас всех, но не допилил. Поставил два микротика, на каждый завел свой ISP. Наcтроил VRRP между ними, являются у друг дружки Бэкапами. Но пока не проверялось вся эта система. У меня вопрос по поводу VRRP и VLAN с бриджами. На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2 1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24? 2. VRRP интерфейс необходимо создавать на Бридже в моём случае? 3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения? @nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) @Saab95 @crank При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted September 13, 2018 14 часов назад, sharik987 сказал: На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2 1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24? 2. VRRP интерфейс необходимо создавать на Бридже в моём случае? 3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения? Нарисуйте лучше схему. Если у вас в каждом филиале и главном офисе по одному микротику и больше никакого оборудования типа управляемых свичей нет, то не понятно совсем зачем вам vlan'ы. По VRRP. Он создаётся на интерфейсах той сети, для которой настраиваете резервирование. Скажем если у вас сеть 192.168.10.0/24, то адреса микротиков должны быть 2 и 3, а адрес интерфейса VRRP - 1. 14 часов назад, sharik987 сказал: При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась... Если именно про маршрутизацию, то настройте лучше OSPF. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 13, 2018 (edited) 16 часов назад, sharik987 сказал: @nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) Убирание IPSec внутрь туннелей позволяет на слабых роутерах не поддерживающих аппаратное ускорение криптографии IPSec шифровать не весь трафик, а выборочно. Например шифровать только SIP/UDP и не шифровать SMB. Отсутствие шифрования "не критичных к секретности" потоков данных позволит сэкономить ресурсы процессора. Разделние по протоколам - один туннель IPIP, второй GRE, в случае с двумя провайдерами позволяет легко маркировать в mangle исходящий туннелирующий трафик по признаку протокола и корректно отправлять его в разные таблицы маршрутизации, через двух разных провайдеров. Кроме того, бывает, что провайдеры режут протокол GRE, а до IPIP у них руки не доходят. Edited September 13, 2018 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...