Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Возможно ли в мангл как-то идентифицировать 2 исходящих L2TP соединения, которые отличаются друг от друга только логином и паролем?
Пример. На R1 настроено 2 L2TP исходящих соединения до R2 3.3.3.3. Возможно ли с R1 соединение L2TP_1 пустить через 2.2.2.2 интерфейс, а L2TP_2 через 1.1.1.1. Поясню, на R1 нет белых адресов.
Это задача управления процессом создания L2TP соединения до ввода логина и пароля. Потому, что система сначала стучится к удаленному серверу L2TP, и он (сервер) запрашивает логин/пароль. Но запрашивает по уже установленному TCP/IP соединению. А оно устанавливается по маршруту по-умолчанию.
Если L2TP без IPSEC, то можно рулить протоколом в фильтрах, там есть L2TP в списке, но заруливаться будет любое соединение. Без оглядки на логин и пароль. Потому, что сначала устанавливается соединение, а потом запрашивается авторизация.
Если L2TP с IPSEC, ситуация еще хуже. Потому, что сначала устанавливается зашифрованное TCP/IP соединение, внутри которого потом организуется L2TP туннель. Тут нужно пытаться рулить IPSEC соединениями, но их к логину и паролю L2TP не привяжешь, этот процесс опять происходит раньше авторизации.
Поэтому скорее всего никак.
Нечего привязывать. Ни к манглам, ни к таблицам маршрутизации, ни к виланам. Интерфейса L2TP не существует, пока не прошла авторизация. Поэтому, даже если есть статическая запись L2tp клиента в интерфейсах, этот интерфейс выключен, не активен до завершения авторизации на сервере. До этого процесс идет не от этого интерфейса, а от микротика просто по сети по маршруту по-умолчанию.
Спасибо за развернутый ответ. =(.
А есть ли инструмент с помощью которого можно создать с R1 клиента два туннеля через разные шлюзы R1 до одного адреса (сервера) R2 не имея на R1 белых ip адресов?
Согласен с Эриком. Не понятно зачем Вам два тоннеля с одного клиента на один сервер ? Если хотите какое-то резервирование VPN -каналов тогда ставьте два VPN-клиента до сервера, каждый со своим каналом. А между ними можно делать локалку. Ну естественно маршруты нужные. Тогда все кто в локальной сети всё равно будут иметь доступ к серверу при отвале одного клиента. У меня так сделано и прекрасно работает.
Можно скриптами мониторировать VPN-соеденения чтобы не было флуда по VPN-каналам и траты трафика (если он "мобильный") и если активен один, отключать второй и наоборот.
