Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Обсуждение ПО и его настройки
Vadevil
Сообщения: 1 Зарегистрирован: 23 июн 2015, 16:23
23 июн 2015, 16:33
Комрады, помогите!
Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал.
Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей?
Схема:
https://drive.google.com/file/d/0Byf9Vprmai8XZU9oVXBqSU85UnM/view?usp=sharing
Конфигурация центрального роутера:
# jun/23/2015 10:17:30 by RouterOS 6.28 # /interface bridge add name=wan-1.1.1 /interface ethernet set [ find default-name=ether1 ] name=1-WAN-1.1.1.2 set [ find default-name=ether2 ] name=2-WAN-2.2.2.2 set [ find default-name=ether5 ] name=5-ASA-TMG set [ find default-name=ether11 ] name=11-WAN-1.1.1 set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /interface bridge port add bridge=wan-1.1.1 interface=11-WAN-1.1.1 add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2 /ip address add address=172.16.1.1/24 comment="default configuration" interface=\ 12-LAN-172.16.1.0/24 network=172.16.1.0 add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0 add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\ 1.1.1.120 add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\ 2.2.2.120 /ip dns set servers=8.8.8.8 /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add chain=input connection-state=established add chain=input connection-state=related add chain=input protocol=icmp add chain=input in-interface=12-LAN-172.16.1.0/24 add chain=input in-interface=5-ASA-TMG add action=drop chain=input /ip firewall mangle add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \ new-connection-mark=wan2_connect passthrough=no add action=mark-connection chain=input in-interface=wan-1.1.1 \ new-connection-mark=wan1_connect passthrough=no add action=mark-routing chain=output connection-mark=wan2_connect \ new-routing-mark=wan2-out passthrough=no add action=mark-routing chain=output connection-mark=wan1_connect \ new-routing-mark=wan1-out passthrough=no /ip firewall nat /ip ipsec peer add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 1.1.1.2 src-address=172.16.1.0/24 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=10.0.0.0/8 tunnel=yes add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\ 2.2.2.2 src-address=192.168.0.0/16 tunnel=yes /ip route add distance=1 gateway=2.2.2.1 routing-mark=wan2-out add distance=1 gateway=1.1.1.1 routing-mark=wan1-out add distance=1 gateway=1.1.1.1 add distance=2 gateway=2.2.2.1 add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1 add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1
Конфигурация удаленного объекта:
/ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip address add address=10.3.8.1/24 comment="default configuration" interface=\ bridge-local network=10.3.8.0 add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\ PASSWORD add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\ PASSWORD /ip ipsec policy set 0 disabled=yes add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \ sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\ 3.3.3.2 src-address=10.3.8.0/24 tunnel=yes /ip route add distance=1 gateway=3.3.3.1