IPSec два коннекта с одного IP

Обсуждение ПО и его настройки
Ответить
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

Есть два роутера, у Mikrotik1 один провайдер (белый ip) у Mikrotik2 два провайдера (оба ip белые).

Mikrotik1 является инициализатором ipsec (у mikrotik2 passive=yes и peer address=0.0.0.0/0), соединение устанавливается если настроен коннект только с одним из провайдеров, если настроить оба то соединение (phase1) устанавливается по одному из провайдеров, рвется и сразу устанавливается по другому и такая мигалка продолжается вечно...

В интернете нашел, что похожая проблема была с ikev1, но у меня ikev2, неужели не решили?

ROS: 6.43.13
ros-ipsec.png
ros-ipsec.png (19.19 КБ) 4368 просмотров
 config
mkt1 (init):

Код: Выделить всё

/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=des name=Test-P1
/ip ipsec policy group
add name=Test
/ip ipsec proposal
add enc-algorithms=des name=Test-P2
/ip address
add address=1.1.1.1/24 interface=ether1 network=1.1.1.0
/ip ipsec peer
add address=2.2.2.2/32 exchange-mode=ike2 policy-template-group=Test profile=Test-P1 secret=test123
add address=3.3.3.3/32 exchange-mode=ike2 policy-template-group=Test profile=Test-P1 secret=test123
/ip route
add distance=1 gateway=1.1.1.254
/system package update
set channel=long-term
mkt2 (resp, dual wan)

Код: Выделить всё

/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=des name=Test-P1
/ip ipsec policy group
add name=Test
/ip ipsec proposal
add enc-algorithms=des name=Test-P2
/caps-man manager
set enabled=yes
/interface wireless cap
set caps-man-addresses=127.0.0.1 interfaces=wlan1
/ip address
add address=2.2.2.2/24 interface=ether1 network=2.2.2.0
add address=3.3.3.3/24 interface=ether2 network=3.3.3.0
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=ike2 generate-policy=port-strict passive=yes policy-template-group=Test profile=Test-P1 secret=test123 send-initial-contact=no
/ip ipsec policy
add dst-address=0.0.0.0/0 group=Test proposal=Test-P2 protocol=udp src-address=0.0.0.0/0 template=yes
/ip route
add check-gateway=ping distance=1 gateway=2.2.2.254 routing-mark=isp1
add check-gateway=ping distance=1 gateway=3.3.3.254 routing-mark=isp2
add check-gateway=ping distance=1 gateway=2.2.2.254
add check-gateway=ping distance=2 gateway=3.3.3.254
/ip route rule
add action=lookup-only-in-table src-address=2.2.2.2/32 table=isp1
add action=lookup-only-in-table src-address=3.3.3.3/32 table=isp2
/system package update
set channel=long-term
Последний раз редактировалось Jukilo 16 апр 2019, 10:42, всего редактировалось 1 раз.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Это не в Микротик, а Вы должны решать ... С чего Вы взяли, что Ваш Микротик2, имеющий выход в Глобал, настроенный на два провайдера, сам разберётся по какому каналу ему коннекты слать ? Надо понимать, что у Вас за туннель и какие там пакетики бегают .... Чтобы такие вещи правильно работали при двух провайдерах соединения маркировать нужно и и дальше уже ими рулить ... То есть всё что связано с Вашим IPSEC и его тоннелем (если в тоннеле шифрование) должно и "входить" и "выходить" через один и тот же WAN-канал. Через оба сразу никак работать не будет.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

>. С чего Вы взяли, что Ваш Микротик2, имеющий выход в Глобал, настроенный на два провайдера, сам разберётся по какому каналу ему коннекты слать ?
wayback настроен правильно, по отдельности оба ipsec подключаются. Не работает только одновременно


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Jukilo писал(а): 05 апр 2019, 16:24 wayback настроен правильно, по отдельности оба ipsec подключаются. Не работает только одновременно
Вам нужно 2 IPSEC соединения одновременно?
Или одно соединение IPSEC при двух активных ISP на микротик2 ?


Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

> Вам нужно 2 IPSEC соединения одновременно?
да
два соединения, по одному через каждого из isp


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Как вы строите IPSEC туннели?

Если сделать, например, 2 GRE туннеля с включенным IPSEC причин не работать возникнуть не должно.


Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

https://forum.mikrotik.com/viewtopic.ph ... 41#p724941 тут пример конфигурации с тестового стенда...я чего-то забыл ее на этом форуме добавить и не замечал...

> Если сделать, например, 2 GRE туннеля с включенным IPSEC причин не работать возникнуть не должно.
Рано еще о gre думать, у меня на этапе ipsec phase1 начинаются проблемы


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Сначала сделаейте 2 GRE туннеля без шифрования. И добейтесь, чтобы они работали одновременно, и друг другу не мешали.

Потом на одном микротике настройте IPSEC в пассивном режиме
А на другом в настройках GRE туннелей поставьте галочки на IPSEC и укажите кодовое слово.
Настройку IPSEC можно сделать как в мануале L2TP. Тогда на микротике, где IP/IPSEC пассивный настроен можно будет еще и L2ТP сервер поднять.


Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

два gre работают и два sstp(сейчас они используются) работают, а вот с ipsec проблема.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Настройте IPSEC на принимающем микротике по этому мануалу
http://bozza.ru/art-248.html

а у второго не настраивайте, а только в настройках GRE укажите ту же кодовую фразу, что и в IPSEC на принимающем.


Ответить