Mikrotik 2 wan 2 vpn ipsec with 1 client

Обсуждение ПО и его настройки
Ответить
Vadevil
Сообщения: 1
Зарегистрирован: 23 июн 2015, 16:23

Комрады, помогите!
Дано: на центральном роутере R1SRV03 два внешних канала, за ним несколько подсетей. Есть удаленные точки связанный vpn каналом. Необходимо распределить нагрузку таким образом, чтобы с трафик между подсетью 172.16.1.0/24 и удаленной точкой 10.3.8.0/24 шел через один ipsec vpn тоннель и первый WAN канал, трафик между подсетями 192.168.0.0/16 , 10.0.0.8/8 и удаленной точкой 10.3.8.0/24 шел через другой ipsec vpn тоннель и второй WAN канал.
Собранная схема работает не стабильно: пинги с 172.16.1.21 до 10.3.8.21 ходят, с 192.168.0.21 до 10.3.8.21 - нет. Но если отправить пинг с 10.3.8.21 до 192.168.0.21, после 1-2 потерь, пинги пойдут в обе стороны. Получается где-то ошибка в маршрутизации и постройке vpn тоннелей?

Схема:
https://drive.google.com/file/d/0Byf9Vprmai8XZU9oVXBqSU85UnM/view?usp=sharing

 Конфигурация центрального роутера:
# jun/23/2015 10:17:30 by RouterOS 6.28
#
/interface bridge
add name=wan-1.1.1
/interface ethernet
set [ find default-name=ether1 ] name=1-WAN-1.1.1.2
set [ find default-name=ether2 ] name=2-WAN-2.2.2.2
set [ find default-name=ether5 ] name=5-ASA-TMG
set [ find default-name=ether11 ] name=11-WAN-1.1.1
set [ find default-name=ether12 ] name=12-LAN-172.16.1.0/24
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/interface bridge port
add bridge=wan-1.1.1 interface=11-WAN-1.1.1
add bridge=wan-1.1.1 interface=1-WAN-1.1.1.2
/ip address
add address=172.16.1.1/24 comment="default configuration" interface=\
12-LAN-172.16.1.0/24 network=172.16.1.0
add address=192.168.100.4/24 interface=5-ASA-TMG network=192.168.100.0
add address=1.1.1.2/29 interface=1-WAN-1.1.1.2 network=\
1.1.1.120
add address=2.2.2.2/29 interface=2-WAN-2.2.2.2 network=\
2.2.2.120
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface=wan-1.1.1 src-address-list=BOGON
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input protocol=icmp
add chain=input in-interface=12-LAN-172.16.1.0/24
add chain=input in-interface=5-ASA-TMG
add action=drop chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
new-routing-mark=wan1-out passthrough=no
/ip firewall nat
/ip ipsec peer
add address=3.3.3.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
1.1.1.2 src-address=172.16.1.0/24 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
2.2.2.2 src-address=10.0.0.0/8 tunnel=yes
add dst-address=10.3.8.0/24 sa-dst-address=3.3.3.2 sa-src-address=\
2.2.2.2 src-address=192.168.0.0/16 tunnel=yes
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1


 Конфигурация удаленного объекта:
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/ip address
add address=10.3.8.1/24 comment="default configuration" interface=\
bridge-local network=10.3.8.0
add address=3.3.3.2/30 interface=ether1-gateway network=3.3.3.180
/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=2s enc-algorithm=aes-256 secret=\
PASSWORD
add address=1.1.1.2/32 enc-algorithm=aes-256 nat-traversal=no secret=\
PASSWORD
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/16 level=unique sa-dst-address=2.2.2.2 \
sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=10.0.0.0/8 level=unique sa-dst-address=2.2.2.2 \
sa-src-address=3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
add dst-address=172.16.1.0/24 sa-dst-address=1.1.1.2 sa-src-address=\
3.3.3.2 src-address=10.3.8.0/24 tunnel=yes
/ip route
add distance=1 gateway=3.3.3.1


Ответить