Добрый день, есть 4 провайдера, весь трaфик в Mangle по всем провайдерам маркируется в свои таблицы.
один IPSEC туннель работает через основную таблицу. Как заставить ipsec тонели работать по маркированным таблицам?
Несколько IPSEC тунелей через разные провайдеры
-
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
Кто с кем соединяется по туннелям? Кто инициатор? Сколько выделенных IP задействовано? Каким образом? От этого все зависит.
Например, если из одной точки с 4-мя операторами нужно построить 4 туннеля на разные белые IP, и инициатором соединения будет микротик в этой одной точке, то все просто. Маркируется траффик до каждого из этих IP и направляется в своего оператора.
Но если нужно 4 туннеля на 1 внешний IP по разным операторам растащить - задача не решаемая.
Если инициаторы на стороне этих 4-х IP, то вам в центре нужно получить выделенные IP от каждого оператора, чтобы из 4-х точек каждая на свой IP в центре стучалась.
И т.д.
-
- Сообщения: 2
- Зарегистрирован: 29 ноя 2017, 18:50
Есть 4 территориально распределенные сети , в каждой сети по одному 4011. В двух сетях hq и hq2 по 4 интернет провайдер , в двух других по одному.(везде белые IP) ПО хорошему в планах сделать топологию звезда, чтобы трафик между всеми сетями ходил. (думаю в сторону OSPF и MPLS). Сейчас же
10.17.2.0/24 hq
10.17.3.0.24 hq2
10.17.4.0/24 branche1
10.17.5.0/24 branche2
сейчас схема такая что, hq и hq2 initiator, branche1 и branche2 responder. Branche1 и branche2 по одному туннелю до hq и hq2, hq и hq2 между ними туннель.
Все провайдеры промаркированы в свои таблицы, часть абонентов работают через основную таблицу, часть через маркированные, так задумано политикой компании. Задача в том, как промаркировать в hq и hq2 основной туннель, а резервный туннель сделать через основную таблицу(на случай отсутствия интернета )
10.17.2.0/24 hq
10.17.3.0.24 hq2
10.17.4.0/24 branche1
10.17.5.0/24 branche2
сейчас схема такая что, hq и hq2 initiator, branche1 и branche2 responder. Branche1 и branche2 по одному туннелю до hq и hq2, hq и hq2 между ними туннель.
Все провайдеры промаркированы в свои таблицы, часть абонентов работают через основную таблицу, часть через маркированные, так задумано политикой компании. Задача в том, как промаркировать в hq и hq2 основной туннель, а резервный туннель сделать через основную таблицу(на случай отсутствия интернета )
-
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
Поменяйте местами инициатора и ответчика.
Если на branche1 и branche2 по одному оператору, то пусть они инициируют IPSEC на разные белые IP hq.
На 2 от branche1 и на 2 других от branche2.
Ту же схему с hq2.
Наоборот не получится. Нельзя отмаркировать процесс установления IPSEC в одним и тем же белым IP (если пытаться построить 2 туннеля с hq на branche1) и направить его в резных операторов. Процесс в обоих случаях один и тот же - соединение с единственным белым IP branche1. Будет всегда одинаково.
Если на branche1 и branche2 по одному оператору, то пусть они инициируют IPSEC на разные белые IP hq.
На 2 от branche1 и на 2 других от branche2.
Ту же схему с hq2.
Наоборот не получится. Нельзя отмаркировать процесс установления IPSEC в одним и тем же белым IP (если пытаться построить 2 туннеля с hq на branche1) и направить его в резных операторов. Процесс в обоих случаях один и тот же - соединение с единственным белым IP branche1. Будет всегда одинаково.