Два провайдера и VPN-сервер
Добавлено: 09 фев 2013, 13:46
Доброе время суток! Нужна помощь. Есть 1100x2, есть два провайдера (Основной на 10мб/с и резервный на 3мб/с), есть настроенный VPN-сервер на микротике и толпа удаленных пользователей (PPTP и L2TP). Есть мысль, что негоже малому каналу простаивать и неплохо бы перевести на него часть удаленных vpn-пользователей, дабы жители локалки своими торрентами жизнь им не портили. Поднял интерфейс второго ISP (ether3), настроил Mangle след образом
Настроил роутинг
Не работает VPN на втором канале.. точнее ничего не работает, микротик даже не пингуется по второму ISP. НО! Если ко всему вышеописанному добавить DST-NAT с второго ISP на какой-нить внутренний хост - все начинает работать! Пакеты помечаются, прилежно уходят на нужный интерфейс. Не могу понять, почему с самим маршрутизатором работать сие не хотит?
Код: Выделить всё
[admin@MikroTik_1100x2] /ip firewall mangle> print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=comlink_con
passthrough=yes in-interface=ether3
1 chain=prerouting action=mark-connection new-connection-mark=telros_con
passthrough=yes in-interface=ether2
2 chain=prerouting action=mark-routing new-routing-mark=to-comlink
passthrough=yes src-address=192.168.0.0/24 connection-mark=comlink_con
3 chain=prerouting action=mark-routing new-routing-mark=to-telros
passthrough=yes src-address=192.168.0.0/24 connection-mark=telros_con
Настроил роутинг
Код: Выделить всё
[admin@MikroTik_1100x2] > ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 A S dst-address=0.0.0.0/0 gateway=XXX.XXX.251.253
gateway-status=XXX.XXX.251.253 reachable via ether2 distance=1
scope=30 target-scope=10 routing-mark=to-telros
1 A S dst-address=0.0.0.0/0 gateway=YYY.YYY.138.145
gateway-status=YYY.YYY.138.145 reachable via ether3 distance=1
scope=30 target-scope=10 routing-mark=to-comlink
2 A S dst-address=0.0.0.0/0 gateway=XXX.XXX.251.253
gateway-status=XXX.XXX.251.253 reachable via ether2 distance=1
scope=30 target-scope=10
Не работает VPN на втором канале.. точнее ничего не работает, микротик даже не пингуется по второму ISP. НО! Если ко всему вышеописанному добавить DST-NAT с второго ISP на какой-нить внутренний хост - все начинает работать! Пакеты помечаются, прилежно уходят на нужный интерфейс. Не могу понять, почему с самим маршрутизатором работать сие не хотит?