Страница 1 из 2

IPsec туннель

Добавлено: 23 авг 2012, 09:50
noname05
можно ли сделать с mikrotikOS вот такое:
имеем
1. 2 роутера с mikrotik
2. на каждом роутере 2 Wan и 1 Lan
3. между ними поднят IPsec туннель
необходимо
при падении канала на одном из Wan что бы тунель поднялся по резервному каналу

Re: IPsec туннель

Добавлено: 23 авг 2012, 22:33
iSupport
Вполне возможно

если первый канал падает - у вас меняется маршрутизация - соответственно тоннель летит через второй канал

Re: IPsec туннель

Добавлено: 24 авг 2012, 11:03
noname05
но ведь ИПадрес то поменяется, будет ли его принимать противоположная сторона, и как вообще реализовано такое туннелирование в вашей ос

Re: IPsec туннель

Добавлено: 25 авг 2012, 15:55
iSupport
почитайте

http://wiki.mikrotik.com/wiki/Russian/% ... E_Mikrotik

тут основные способы соединения офисов

Re: IPsec туннель

Добавлено: 31 авг 2012, 14:08
Jumper
что бы не плодить темы, спрошу тут.
имеется два 751, один дома, второй тестовый на работе,
домашний через pppoe в интернет ходит, тестовый - через yota (прямое соединение),
по примеру указанной выше статьи сделал:
1) создал pptp- сервер на домашнем и pptp-клиент на тестовом
2) сделал на домашнем проброс входящего порта 1723 tcp
3) коннект к pptp серверу - есть
4) добавил EoIP и присоединил к мостам
5) пинг на устройства проходит, но ни какие другие сервисы не доступны
отключал блокирующие правила в фаерволе - не помогает.

Re: IPsec туннель

Добавлено: 31 авг 2012, 21:14
iSupport
пинг проходит - значит канал работает

уточните, что за другие сервисы у вас не работают?

Re: IPsec туннель

Добавлено: 03 сен 2012, 12:34
Jumper
вот только кроме пинга ничего не работает, ни SMB ни FTP ни HTTP даже на удалённый 751 зайти не могу (через winbox видно удалённый роутер, под соединяюсь - но внутри окон ни какие интерфейсы не отображает и через некоторое время соединение разрывает)
пинг стабильный, с ключём -l 1000 показывает 30-70мс

может я какие правила фаервола не прописал?

Код: Выделить всё

/ip firewall filter
add action=accept chain=input disabled=no dst-port=1723 in-interface=\
    pppoe-out1 protocol=tcp
add action=accept chain=input disabled=no in-interface=pppoe-out1 protocol=\
    gre
add action=accept chain=input disabled=no in-interface=pptp-in1
add action=accept chain=output disabled=no out-interface=pptp-in1
add action=accept chain=input disabled=no in-interface=filial_EoIP
add action=accept chain=output disabled=no out-interface=filial_EoIP


Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
    icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
    established disabled=no in-interface=pppoe-out1
add action=accept chain=input comment="Added by webbox" connection-state=\
    related disabled=no in-interface=pppoe-out1
add action=drop chain=input comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1
add action=jump chain=forward comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1 jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
    established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
    related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" disabled=no \
    out-interface=pppoe-out1 to-addresses=0.0.0.0

Re: IPsec туннель

Добавлено: 04 сен 2012, 06:02
iSupport
вроде ничего блокирующего нет.

нарисуйте схему с подсетями и с адресным пространством между роутерами

скорее всего в схеме чего-то не хватает (например правил роутинга)

Re: IPsec туннель

Добавлено: 04 сен 2012, 11:10
Jumper
 схема
Изображение
Изображение
Изображение

как видно - удалённый Wifi router работающий в режиме моста(свитча) пингуется, но зайти на него по HTTP не могу
пингуется 5.1 и 5.2 и 10.1
если отключаю EoIP - 10 подсеть перестаёт пинговаться

Re: IPsec туннель

Добавлено: 04 сен 2012, 22:39
iSupport
в настройках eoip поиграйтесь с параметром arp

(из вариантов поставить прокси-арп)

с компа то что-то пингуется? и с какого компа пингуете?