IPsec туннель

Обсуждение ОС и пр.
noname05
Сообщения: 2
Зарегистрирован: 23 авг 2012, 09:44

IPsec туннель

Сообщение noname05 » 23 авг 2012, 09:50

можно ли сделать с mikrotikOS вот такое:
имеем
1. 2 роутера с mikrotik
2. на каждом роутере 2 Wan и 1 Lan
3. между ними поднят IPsec туннель
необходимо
при падении канала на одном из Wan что бы тунель поднялся по резервному каналу
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: IPsec туннель

Сообщение iSupport » 23 авг 2012, 22:33

Вполне возможно

если первый канал падает - у вас меняется маршрутизация - соответственно тоннель летит через второй канал
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
noname05
Сообщения: 2
Зарегистрирован: 23 авг 2012, 09:44

Re: IPsec туннель

Сообщение noname05 » 24 авг 2012, 11:03

но ведь ИПадрес то поменяется, будет ли его принимать противоположная сторона, и как вообще реализовано такое туннелирование в вашей ос
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: IPsec туннель

Сообщение iSupport » 25 авг 2012, 15:55

почитайте

http://wiki.mikrotik.com/wiki/Russian/% ... E_Mikrotik

тут основные способы соединения офисов
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Jumper
Сообщения: 7
Зарегистрирован: 24 мар 2012, 01:51

Re: IPsec туннель

Сообщение Jumper » 31 авг 2012, 14:08

что бы не плодить темы, спрошу тут.
имеется два 751, один дома, второй тестовый на работе,
домашний через pppoe в интернет ходит, тестовый - через yota (прямое соединение),
по примеру указанной выше статьи сделал:
1) создал pptp- сервер на домашнем и pptp-клиент на тестовом
2) сделал на домашнем проброс входящего порта 1723 tcp
3) коннект к pptp серверу - есть
4) добавил EoIP и присоединил к мостам
5) пинг на устройства проходит, но ни какие другие сервисы не доступны
отключал блокирующие правила в фаерволе - не помогает.
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: IPsec туннель

Сообщение iSupport » 31 авг 2012, 21:14

пинг проходит - значит канал работает

уточните, что за другие сервисы у вас не работают?
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Jumper
Сообщения: 7
Зарегистрирован: 24 мар 2012, 01:51

Re: IPsec туннель

Сообщение Jumper » 03 сен 2012, 12:34

вот только кроме пинга ничего не работает, ни SMB ни FTP ни HTTP даже на удалённый 751 зайти не могу (через winbox видно удалённый роутер, под соединяюсь - но внутри окон ни какие интерфейсы не отображает и через некоторое время соединение разрывает)
пинг стабильный, с ключём -l 1000 показывает 30-70мс

может я какие правила фаервола не прописал?

Код: Выделить всё

/ip firewall filter
add action=accept chain=input disabled=no dst-port=1723 in-interface=\
    pppoe-out1 protocol=tcp
add action=accept chain=input disabled=no in-interface=pppoe-out1 protocol=\
    gre
add action=accept chain=input disabled=no in-interface=pptp-in1
add action=accept chain=output disabled=no out-interface=pptp-in1
add action=accept chain=input disabled=no in-interface=filial_EoIP
add action=accept chain=output disabled=no out-interface=filial_EoIP


Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
    icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
    established disabled=no in-interface=pppoe-out1
add action=accept chain=input comment="Added by webbox" connection-state=\
    related disabled=no in-interface=pppoe-out1
add action=drop chain=input comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1
add action=jump chain=forward comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1 jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
    established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
    related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" disabled=no \
    out-interface=pppoe-out1 to-addresses=0.0.0.0
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: IPsec туннель

Сообщение iSupport » 04 сен 2012, 06:02

вроде ничего блокирующего нет.

нарисуйте схему с подсетями и с адресным пространством между роутерами

скорее всего в схеме чего-то не хватает (например правил роутинга)
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Jumper
Сообщения: 7
Зарегистрирован: 24 мар 2012, 01:51

Re: IPsec туннель

Сообщение Jumper » 04 сен 2012, 11:10

 схема
Изображение
Изображение
Изображение

как видно - удалённый Wifi router работающий в режиме моста(свитча) пингуется, но зайти на него по HTTP не могу
пингуется 5.1 и 5.2 и 10.1
если отключаю EoIP - 10 подсеть перестаёт пинговаться
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: IPsec туннель

Сообщение iSupport » 04 сен 2012, 22:39

в настройках eoip поиграйтесь с параметром arp

(из вариантов поставить прокси-арп)

с компа то что-то пингуется? и с какого компа пингуете?
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей