Ручной перенос конфигурации с 5.26 на 6.42.10 - некорректно работает роутинг

[Edelstein]

Добрый день!

Меняю старый роутер на х86 (5.26) на новый CCR1016-12G (6.42.10).
Руками создал конфигурацию на 6.42.10, точно такую же, как на 5.26, попробовал - появились непонятные мне проблемы с роутингом.

Суть конфигурации: центральный узел (Site 01, здесь и меняю роутер), два ISP в режиме резервирования, несколько удаленных узлов (Site02, 04, 10, 11) соединенных GRE и L2TP туннелями (на каждом узле по нескольку ISP, поэтому туннелей много).

В конфигурации стандартным механизмом с маркировкой соединений и пакетов реализован алгоритм "отвечать в тот интерфейс откуда пришел запрос", что нужно для нескольких ISP.

Суть проблемы: туннели до удаленных узлов поднялись, трафик между хостами пошел (видно было по видеопотоку с IP-камер), но IP-телефоны с удаленных узлов не регистрируются на Asterisk'e в центральном узле, либо совсем, либо регистрируются и на Asterisk'e я в качестве IP-хоста вижу GW своего основного ISP на центральном узле (проблема с маркировкой пакетов или НАТ?!)

Перезагрузка нового роутера не помогает.

После замены роутера на старый все сразу заработало нормально, без перезагрузки IP-телефонов, старый роутер при этом не выключался, у него физически убирались линки.

В связи с этим, у меня есть предположение, что в 6.42.10 по-другому отрабатывают правила, нежели в 5.26.

Просьба посмотреть конфиг (он небольшой) и указать на ошибку.

Спасибо.

Код: Выделить всё

# feb/25/2002 21:55:13 by RouterOS 6.42.10
# software id = XXX
#
# model = CCR1016-12G
# serial number = XXX
/interface l2tp-server
add comment="Site 10" name="Site 10" user=Site10Tunnel1
add comment="Site 11" name="Site 11" user=Site11Tunnel1
/interface ethernet
set [ find default-name=ether12 ] comment=Control name=Control
set [ find default-name=ether5 ] comment=LAN name=LAN
set [ find default-name=ether1 ] comment="ISP 1 - XXX" mac-address=XXX name=WAN1
set [ find default-name=ether2 ] comment="ISP 2 - XXX" mac-address=XXX name=WAN2
set [ find default-name=ether3 ] name=WAN3
/interface gre
add comment="Site 02" keepalive=3s local-address=Site01ISP1IP name="Site 01 ISP 1 - Site 02 ISP 1" remote-address=\
    Site02ISP1IP
add comment="Site 02" keepalive=3s local-address=Site01ISP1IP name="Site 01 ISP 1 - Site 02 ISP 2" remote-address=\
    Site02ISP2IP
add comment="Site 02" keepalive=3s local-address=Site01ISP1IP name="Site 01 ISP 1 - Site 02 ISP 3" remote-address=\
    Site02ISP3IP
add comment="Site 04" keepalive=3s local-address=Site01ISP1IP name="Site 01 ISP 1 - Site 04 ISP 1" remote-address=\
    Site04ISP1IP
add comment="Site 04" keepalive=3s local-address=Site01ISP1IP name="Site 01 ISP 1 - Site 04 ISP 2" remote-address=\
    Site04ISP2IP
add comment="Site 100" keepalive=3s local-address=Site01ISP1IP name="Site 01 ISP 1 - Site100 ISP 1 " remote-address=\
    Site100ISP1IP
add comment="Site 02" keepalive=3s local-address=Site01ISP2IP name="Site 01 ISP 2 - Site 02 ISP 1" remote-address=\
    Site02ISP1IP
add comment="Site 02" keepalive=3s local-address=Site01ISP2IP name="Site 01 ISP 2 - Site 02 ISP 2" remote-address=\
    Site02ISP2IP
add comment="Site 02" keepalive=3s local-address=Site01ISP2IP name="Site 01 ISP 2 - Site 02 ISP 3" remote-address=\
    Site02ISP3IP
add comment="Site 04" keepalive=3s local-address=Site01ISP2IP name="Site 01 ISP 2 - Site 04 ISP 1" remote-address=\
    Site04ISP1IP
add comment="Site 04" keepalive=3s local-address=Site01ISP2IP name="Site 01 ISP 2 - Site 04 ISP 2" remote-address=\
    Site04ISP2IP
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ppp profile
add name="L2TP VPN" use-compression=yes use-encryption=yes use-ipv6=no
/queue tree
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface l2tp-server server
set authentication=mschap2 default-profile="L2TP VPN" enabled=yes
/ip address
add address=10.0.1.2/16 comment=LAN interface=LAN network=10.0.0.0
add address=Site01ISP1IP/30 comment="ISP 1" interface=WAN1 network=Site01ISP1GW
add address=Site01ISP2IP/30 comment="ISP 2" interface=WAN2 network=Site01ISP2GW
/ip dns
set servers=77.88.8.8,8.8.8.8
/ip firewall filter
/ip firewall mangle
add action=mark-connection chain=input comment="ISP 1" dst-address=Site01ISP1IP in-interface=WAN1 \
    new-connection-mark=ISP1-in passthrough=no
add action=mark-connection chain=input comment="ISP 2" dst-address=Site01ISP2IP in-interface=WAN2 \
    new-connection-mark=ISP2-in passthrough=no
add action=mark-routing chain=output comment="ISP 1" connection-mark=ISP1-in new-routing-mark=ISP1 passthrough=no
add action=mark-routing chain=output comment="ISP 2" connection-mark=ISP2-in new-routing-mark=ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat comment="ISP 1 NAT" out-interface=WAN1
add action=masquerade chain=srcnat comment="ISP 2 NAT" out-interface=WAN2
/ip route
add comment=ISP1 distance=1 gateway=Site01ISP1GW routing-mark=ISP1
add comment=ISP2 distance=1 gateway=Site01ISP2GW routing-mark=ISP2
add check-gateway=ping comment=ISP1Route distance=1 gateway=Site01ISP1GW
add check-gateway=ping comment=ISP2Route distance=2 gateway=Site01ISP2GW
add comment="Site 02" distance=1 dst-address=10.1.0.0/16 gateway="Site 01 ISP 1 - Site 02 ISP 1"
add comment="Site 02" distance=2 dst-address=10.1.0.0/16 gateway="Site 01 ISP 1 - Site 02 ISP 2"
add comment="Site 02" distance=3 dst-address=10.1.0.0/16 gateway="Site 01 ISP 2 - Site 02 ISP 1"
add comment="Site 02" distance=4 dst-address=10.1.0.0/16 gateway="Site 01 ISP 2 - Site 02 ISP 2"
add comment="Site 02" distance=5 dst-address=10.1.0.0/16 gateway="Site 01 ISP 1 - Site 02 ISP 3"
add comment="Site 02" distance=6 dst-address=10.1.0.0/16 gateway="Site 01 ISP 2 - Site 02 ISP 3"
add comment="Site 04" distance=1 dst-address=10.4.0.0/16 gateway="Site 01 ISP 1 - Site 04 ISP 1"
add comment="Site 04" distance=2 dst-address=10.4.0.0/16 gateway="Site 01 ISP 1 - Site 04 ISP 2"
add comment="Site 04" distance=3 dst-address=10.4.0.0/16 gateway="Site 01 ISP 2 - Site 04 ISP 1"
add comment="Site 04" distance=4 dst-address=10.4.0.0/16 gateway="Site 01 ISP 2 - Site 04 ISP 2"
add check-gateway=ping comment="Site 10" distance=1 dst-address=10.10.0.0/16 gateway="Site 01 ISP 1 - Site 02 ISP 1"
add check-gateway=ping comment="Site 10" distance=2 dst-address=10.10.0.0/16 gateway="Site 10"
add check-gateway=ping comment="Site 10" distance=3 dst-address=10.10.0.0/16 gateway="Site 01 ISP 1 - Site100 ISP 1 "
add check-gateway=ping comment="Site 11" distance=1 dst-address=10.11.0.0/16 gateway="Site 01 ISP 1 - Site 02 ISP 1"
add check-gateway=ping comment="Site 11" distance=2 dst-address=10.11.0.0/16 gateway="Site 11"
add check-gateway=ping comment="Site 11" distance=3 dst-address=10.11.0.0/16 gateway="Site 01 ISP 1 - Site100 ISP 1 "
add comment="Site 100" distance=1 dst-address=10.100.0.0/16 gateway="Site 01 ISP 1 - Site100 ISP 1 "
/ip service
set www-ssl disabled=no
/ppp secret
add name=Site10Tunnel1 password=\
    XXX profile=\
    "L2TP VPN" service=l2tp
add name=Site11Tunnel1 password=\
    XXX profile=\
    "L2TP VPN" service=l2tp
/system clock
set time-zone-name=Etc/GMT+3
/system identity
set name=Site01RT01A
/system ntp client
set enabled=yes primary-ntp=195.122.241.236 secondary-ntp=37.79.247.7
/system routerboard settings
set silent-boot=no
/system scheduler
/tool user-manager database
set db-path=user-manager

[Vlad-2]

По-быстрому:

1) Я бы убрал НАТы вообще (хотя бы на 5-10 минут).
Мне они показались (правила) уж слишком общего плана, без уточнений.
При куче туннелей, сетей, с НАТом надо гибко, тонко настраивать.

2) Я не увидел в конфиге данные по service-port (это закладка в файрволе такая).
Обычно там sip хелпер отключают кто юзает VoIP

P.S.
Конфиг трудно читать, айпи заменили словами, лучше другим айпи заменили..так легка глазам..
(моё мнение).
И тоже моё мнение: я не переименовываю порты, то есть ether1 так и будет у меня,
а вот адрес интерфейс-лист я сделаю, и не один, где удобно группировать, делать
комментарии и прочее...Да и я не раз говорил, что и конфигурацией в будущем
делиться удобнее, перенёс много чего, поправил в адрес-интерфейс-лист ассоциации
с нужными интерфейсами и всё. Логика кода/конфига не тронута.

Ну и я бы не переносил, а с нуля делал конфигурацию.

И да, обновите роутер, так как у Вас CCR, лучше юзать ветку long-term,
и текущая последняя версия там - 6.42.12 (Long-term) (у Вас 6.42.10)