sharik987 Опубликовано 28 августа, 2018 · Жалоба Здравствуйте. Есть два провайдера, настроены в резервировании, основной и включаемый резервный канал только в случае отключения основного. Везде белые ip. К данному микротику подключается еще несколько филиалов по GRE + IPSec каналу. Как организовать что бы в случае отключения Основного канала, связь с филиалами не терялась? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 28 августа, 2018 · Жалоба 1. Настроить по два туннеля в каждом филиале. При такой схеме в одно время будет поднят только один из них. 2. Скриптами. Например, менять IP главного офиса в настройках туннеля в филиалах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 28 августа, 2018 · Жалоба Резервный канал полностью не отключать. IPSEC УБРАТЬ ВНУТРЬ ТУННЕЛЕЙ и разделить туннели маршрутизируя в мир по-протокольно: Провайдер-1 GRE+IPSEC Провайдер-2 IPIP+IPSEC Поднять внутри OSPF задав цену интерфейса через IPIP туннель выше, тогда он почти не будет использоваться до падения провайдера-1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 августа, 2018 · Жалоба Нужно поставить по микротику на каждый внешний канал. С каждого поднять перекрестные туннели на адреса другого офиса. Всего будет 4 туннеля. Поверх поднимаете OSPF и все прекрасно будет само резервироваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sharik987 Опубликовано 12 сентября, 2018 · Жалоба Прочитал ваши посты, спасибо всем. Решил, и в принципе сейчас уже сделал как указанно у вас всех, но не допилил. Поставил два микротика, на каждый завел свой ISP. Наcтроил VRRP между ними, являются у друг дружки Бэкапами. Но пока не проверялось вся эта система. У меня вопрос по поводу VRRP и VLAN с бриджами. На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2 1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24? 2. VRRP интерфейс необходимо создавать на Бридже в моём случае? 3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения? @nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) @Saab95 @crank При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 13 сентября, 2018 · Жалоба 14 часов назад, sharik987 сказал: На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2 1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24? 2. VRRP интерфейс необходимо создавать на Бридже в моём случае? 3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения? Нарисуйте лучше схему. Если у вас в каждом филиале и главном офисе по одному микротику и больше никакого оборудования типа управляемых свичей нет, то не понятно совсем зачем вам vlan'ы. По VRRP. Он создаётся на интерфейсах той сети, для которой настраиваете резервирование. Скажем если у вас сеть 192.168.10.0/24, то адреса микротиков должны быть 2 и 3, а адрес интерфейса VRRP - 1. 14 часов назад, sharik987 сказал: При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась... Если именно про маршрутизацию, то настройте лучше OSPF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 13 сентября, 2018 (изменено) · Жалоба 16 часов назад, sharik987 сказал: @nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) Убирание IPSec внутрь туннелей позволяет на слабых роутерах не поддерживающих аппаратное ускорение криптографии IPSec шифровать не весь трафик, а выборочно. Например шифровать только SIP/UDP и не шифровать SMB. Отсутствие шифрования "не критичных к секретности" потоков данных позволит сэкономить ресурсы процессора. Разделние по протоколам - один туннель IPIP, второй GRE, в случае с двумя провайдерами позволяет легко маркировать в mangle исходящий туннелирующий трафик по признаку протокола и корректно отправлять его в разные таблицы маршрутизации, через двух разных провайдеров. Кроме того, бывает, что провайдеры режут протокол GRE, а до IPIP у них руки не доходят. Изменено 13 сентября, 2018 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...