admin53 Posted November 14, 2014 · Report post Имею сеть из 3х dfl-260e и 5х mikrotik RB-951g. Все коннектятся к центральному DFL в тоннельном режиме по IPSEC. То есть есть центральный сервер с виртуалками и DFL, а есть остальные офисы. Собственно в чем проблема: между DFL и mikrotik ipsec поднимается только по инициативе DFL. То есть делаем перезагрузку обоих устройств и пока я не пошлю пакеты из сети за DFL в сеть за mikrotik, тоннель не поднимется. Поле поднятия никаких проблем, все друг друга видят, тоннель стабильный. Конфигурация настройки ipsec на DFL одинаковая для всех, то есть и для mikrotik и для DFL-ов. DFL-ы между собой отлично тоннели поднимают и никаких проблем а с mikrotik вот такая канитель. Почему так происходит? Что я не доделываю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 14, 2014 · Report post Почему так происходит? Что я не доделываю? Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
danilbal Posted November 14, 2014 · Report post В свое время я эту проблему не порешал, отказался на этом участке от ipsec в пользу PPTP. Второй микротик для этого вовсе не обязателен:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 17, 2014 · Report post admin53, ip route покажите еще. Как вариант - поиграть с версиями ROS на микротах, они его довольно активно чинят/ломают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
danilbal Posted November 17, 2014 · Report post Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения. Хотя я могу ошибаться, конечно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted November 17, 2014 · Report post Почему так происходит? Что я не доделываю? Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов. А как же еще один микротик для резервирования микротика и микротик для туннелирования внутри туннелирования? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 18, 2014 · Report post Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения. Тут не в conntrack дело, а в кривых раутах возможно. Хотя ROS и ipsec - это вообще плохо совместимые вещи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...