Прошу подсказать как поднять L2TP/PPTP клиент (или какой-либо VPN) который будет работать через резервный канал.
Конфиг примерно такой:
/interface l2tp-client
add allow=mschap2 connect-to=82.19.24.1 disabled=no ipsec-secret=\
secretpasswordTuT name=L2TP-MAIN password=\
passwordSuda use-ipsec=yes user=clientl2Tp
/ip ipsec profile
set [ find default=yes ] dh-group=modp3072 enc-algorithm=aes-128 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-128-cbc \
pfs-group=none
/ip address
add address=192.168.8.2/30 comment="ISP RESERVED" interface=lte1 network=\
192.168.8.0
add address=21.31.40.186/30 comment="ISP MAIN" interface=ether1 network=\
21.31.40.184
/ip firewall nat
add action=masquerade chain=srcnat comment=MASQUERADE out-interface=ether1
add action=masquerade chain=srcnat out-interface=lte1
/ip route
add comment=MainISP distance=1 gateway=21.31.40.185
add comment="ISP RESERVED" distance=2 gateway=192.168.8.1
Желаем поднять второй VPN клиент подключающийся к 82.19.24.1 через интерфейс lte1 для централизованного отслеживания работы резервных каналов (модемов). Заранее благодарю всех! Хорошего дня!
VPN (L2TP/PPTP) клиент через резервный канал
-
bolshe
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
На всякий случай - клиенты RB2011UiAS, центральный 3011UiAS. Спасибо
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Промаркируйте трафик для lte1 при помощи mark route для нужных протоколов и портов, не забыть про дефроут для нужного маркоута. Источником у вас всыступает статический адрес (впн) - его тоже в правило, чтоб без путаницы.
-
bolshe
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
можно пример\кусок конфига? Я делал мангл с прероутингом интерфейса и маркировкой роута, рисовал соответствующий порт(VPN-test) но соединение всё-ровно уходит через основной канал....
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
In-interface, distance, gateway указать свои.
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=500,1701,4500 in-interface=IP new-connection-mark=first passthrough=no protocol=udp
add action=mark-routing chain=output connection-mark=first new-routing-mark=VPN passthrough=no
/ip route
add distance=2 gateway=1.1.1.1 routing-mark=VPN-
bolshe
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
KaNelam писал(а): ↑06 окт 2020, 11:21 In-interface, distance, gateway указать свои.Код: Выделить всё
/ip firewall mangle add action=mark-connection chain=prerouting dst-port=500,1701,4500 in-interface=IP new-connection-mark=first passthrough=no protocol=udp add action=mark-routing chain=output connection-mark=first new-routing-mark=VPN passthrough=no /ip route add distance=2 gateway=1.1.1.1 routing-mark=VPN
Код: Выделить всё
/ip firewall mangle
# l2tp-tst not ready
add action=mark-connection chain=prerouting in-interface=l2tp-tst \
new-connection-mark=first passthrough=no protocol=udp
add action=mark-routing chain=output connection-mark=first new-routing-mark=\
vpn passthrough=no
/ip route
add distance=1 gateway=192.168.8.1 routing-mark=vpn
-
bolshe
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
ну и в таком случае резервный ВПН подключается так-же через основной канал
-
Erik_U
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
В вашем случае (вы используете IPSEC) сначала устанавливается соединение IPSEC, а потом, по зашифрованному соединению происходит соединение L2TP.bolshe писал(а): ↑29 сен 2020, 16:50 Прошу подсказать как поднять L2TP/PPTP клиент (или какой-либо VPN) который будет работать через резервный канал.
Конфиг примерно такой:
/interface l2tp-client
add allow=mschap2 connect-to=82.19.24.1 disabled=no ipsec-secret=\
secretpasswordTuT name=L2TP-MAIN password=\
passwordSuda use-ipsec=yes user=clientl2Tp
/ip ipsec profile
set [ find default=yes ] dh-group=modp3072 enc-algorithm=aes-128 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-128-cbc \
pfs-group=none
Если у вас в обоих случаях сервер один и тот же (один белый IP адрес) то вы н сможете перенаправить IPSEC на разные интерфейсы, всегда будет работать маршрут по-умолчанию.
И мангл вам не поможет. Бесполезно красить манглом L2TP, он внутри шифрованного соединения красится не будет.
Для того, чтобы иметь 2 L2TP с IPSEC одновременно по разным каналам, нужно 2 микротика. А управлять маршрутизацией через OSPF.
Последний раз редактировалось Erik_U 14 окт 2020, 13:52, всего редактировалось 1 раз.
-
bolshe
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
Айписек на резервном l2tp отключен, резервный канал - модем с серым адресомErik_U писал(а): ↑14 окт 2020, 13:43В вашем случае (вы используете IPSEC) сначала устанавливается соединение IPSEC, а потом, по зашифрованному соединению происходит соединение L2TP.bolshe писал(а): ↑29 сен 2020, 16:50 Прошу подсказать как поднять L2TP/PPTP клиент (или какой-либо VPN) который будет работать через резервный канал.
Конфиг примерно такой:
/interface l2tp-client
add allow=mschap2 connect-to=82.19.24.1 disabled=no ipsec-secret=\
secretpasswordTuT name=L2TP-MAIN password=\
passwordSuda use-ipsec=yes user=clientl2Tp
/ip ipsec profile
set [ find default=yes ] dh-group=modp3072 enc-algorithm=aes-128 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-128-cbc \
pfs-group=none
Если у вас в обоих случаях сервер один и тот же (один белый IP адрес) то вы н сможете перенаправить IPSEC на разные интерфейсы, всегда будет работать маршрут по-умолчанию.
И мангл вам не поможет. Бесполезно красить манглом L2TP, он внутри шифрованного соединения красится не будет.
Для того, чтобы иметь 2 L2TP с IPSEC одновременно по разным каналам, нужно 2 микротика. А управлять маршрутизацией через OSPF.
Про маршрутизацию вообще не понял если честно, OSPF все дела. Мне нужно впн соединение только для проверки статуса работы резервного канала с стороны центрального сервера.