Два туннеля OpenVPN через двух провайдеров на один сервер

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
FigaroVL
Сообщения: 10
Зарегистрирован: 10 май 2018, 09:23

Приветствую всех!
Вот столкнулся с задачкой - и пока не нашел внятного решения :cry_ing:
Два микротика - Один дома со статичным белым IP, на нем поднят OpenVPN сервер. Второй на даче, два LTE провайдера, IP адреса за NAT провайдера.
На даче настроена отказоустойчивость выхода в интернет. Но VPN иногда рвется, а нужна стабильность.
Создал второго OpenVPN клиента. Но не могу заставить каждого из них выходить через своего LTE провайдера.
Перерыл весь mangle и routing - но ничего подходящего не нашел....

P.S. Понятно, что потом надо будет настроить OSPF или BGP для обмена маршрутной информацией между сетями.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

А чего рыли то (в мангл и роутинг) ? Размечать надо трафик и пускать каждый туннель через своего провайдера, если задача в этом. А вот как это сделать - ну кто же Вам такой рецепт преподнесёт на блюдечке с голубой каемочкой, когда тут люди годами своим потом и кровью за это бились ? Такие работы с кондачка не делаются и являются по сути коммерческим продуктом ... Так что если есть желание понять и сделать самому - утирайте слезы и сопли и принимайтесь за серьёзное чтение теории сетей и РоутерОс ... Если такого желания нет - выход один - заказ готовой работы у тех, кто это делает быстро, профессионально, но увы .. за неплохие мани-мани ... (профи хорошо известны в определенных кругах, а также легко и официально гуглятся в Инете) ...

P/S В прочем, имея на даче два LTE-провайдера (и модема в Тиках, соответственно) - это с одной стороны и вместе с тем с другой - кому легко и "понятно" как настроить OSPF и BGP - мне даже сложно предположить, почему у этого человека могут вообще возникнуть какие-либо сложности с настройкой VPN-туннелей, каждый через своего провайдера ? :-)
Последний раз редактировалось Sertik 10 апр 2020, 01:13, всего редактировалось 2 раза.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

подсказываю внятное решение - ключевые слова ikev2 +eoip + bonding + static routes. Отказоусточивость, отсутствие проблем с нат и времени сходимости :men:


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

В случае eoip+bonding у топикастера "на даче" WAN-ами явно не lte должны быть :-) Ему придется проводной Интернет через лес тащить как минимум :-)
Про ikev2 я вообще промолчу. :-)


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

Sertik писал(а): 09 апр 2020, 16:12 В случае eoip+bonding у топикастера "на даче" WAN-ами явно не lte должны быть :-) Ему придется проводной Интернет через лес тащить как минимум :-)
Про ikev2 я вообще промолчу. :-)
И правильно сделаете. А я всего лишь подсказал свою практику, с кондачка.


FigaroVL
Сообщения: 10
Зарегистрирован: 10 май 2018, 09:23

Вот какие вы все правильные :-)
eoip, как и ipsec конечно не подходит, т.к. у LTE провайдеров на Даче нет белого IP для безлимитных тарифов :ny_tik:
Варианты - притащить через лес 3 километра оптики или построить вышку для РРЛ высотой метров 40-50 прошу не предлагать :)-(:
Спасибо всем что грамотно послали, я же не просил настроить за меня - мне направление укажите - сам раскопаю :men:
Да я имею представление о том как работают сети и протоколы маршрутизации и как в Linux/RouterOs устроена обработка пакетов - не не глубоко и я не сертифицированный сетевик. Поэтому и спросил совета.
Как разметить трафик, если он отличается только PPP профилем или именем VPN соединения.... Извращенный вариант через dst-nat думаю работать не будет......
Или скажите что глушняк - не буду мучатся сомненьями :du_ma_et:


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Нет не глушняк. Проблема Ваша решаема.

Более того, раз Вам не нужна "балансировка", а одновременно по Вашей логике работает только один ovpn-клиент, зачем тогда вообще какие-то огороды ? Один lte-интерфейс имеет метрику дефолтного маршрута меньше чем другой, значит он будет основным WAN-каналом, второй - резервным. Зачем настраивать два OVPN-клиента ? Чтобы себя запутать ? OVPN-клиент будет подключаться через "активный" WAN-канал (с меньшей метрикой т.е. distance). Для "гарантии" можно скрипт написать, который будет "оценивать" каналы и включать лучший из них (ну это имеет смысл, если у Вас антенны WAN-lte, например, разные (направленные - для lte1 и панельные - для lte2 к примеру; или антенны lte 1 и lte2 ориентированы на разные две вышки сотовых операторов). Ну или сами провайдеры разные (Билайн и Мегафон например, и в разных условиях и время/погоду они разные скорости и стабильность выдают. Такие решения есть.

Если же Вы хотите чего -то большего, то, во-первых не ясно пока чего ..., а во-вторых всё равно всё делается. Но опять же если уж связывать дачный роутер "двойными" каналами, так уж не с одним роутером-сервером тогда, а с разными вяжите, в этом есть смысл. Если один VPN-сервер будет не доступен, роутер будет соединяться с другим и Вы всегда "зайдете" удаленно на него и в свою "дачную" сеть. Или будет соединен одновременно с двумя (тремя, десятью ...) серверами как паук: будет Вам резервирование и отказоустоичивость и full mesh и ospf и что хотите. Но сначала надо четко рисовать схему и описывать задачу. Можно потренироваться на статических маршрутах для связности сетей, потом уже отладив все перейти к ospf. Можно и vpn-тоннели пустить через разных провайдеров, но надо нормальную "универсальную", так сказать "на все случаи жизни" балансировку трафика делать на роутере-клиенте. Это всё не с кандачка и не за один день ... Ну, может и есть люди, которые такие вещи могут за час настроить руками, не знаю, для меня это гении IT (или у них есть отлаженные заготовки).

Ещё подсказка: если же вяжите роутер как VPN-клиент с другим только одним роутером VPN-сервером, тогда можно сделать на роутере-клиенте два РАЗНЫХ VPN (например, l2tp+ipsec и ovpn) и отмаркировав их трафик через разные lte-wan-гейты принимать ОБА на роутере-сервере. Тогда и трафик их "различить" проще (по типу, портам и т.д..) ... И каждый из них только через свой wan-lte ходить будет и в том числе одновременно если оба lte работают или только один (если второй висит или мани-мани кончились).

Опишите четко задачу со схемой. Может и поможем чем-нибудь ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
FigaroVL
Сообщения: 10
Зарегистрирован: 10 май 2018, 09:23

Дома интернет на GPON от МГТС и он очень стабилен - поэтому второй провайдер дома мне по факту не требуется, хотя как решение проблемы - можно было бы и завести.
Огород на даче мне нужен последующей причине - когда рвется связь на "первом" LTE операторе происходит пересоздание туннеля, оно занимает некоторое время - и соотвественно потеря пакетов между сетями дома и дачи.
Мне не очень важна скорость или балансировка нагрузки - мне важна стабильность (отсутсвие потери пакетов).

Да у меня есть "внешний" сервер на Linux и собран "треугольник" из OpenVPN каналов, можно конечно настроить дополнительно маршрутизацию через "внешний" сервер, но я думал что что есть элегантное решение с двумя туннелями. Поднять кластер из микротиков дома - это конечно прикольно, но для моей ситуации излишество, как и второй провайдер дома.

В части l2tp вариант конечно....... но я надеялся что будет красивое решение.....

Вообщем получается три варианта решения данного вопроса:
1. Второй провайдер домой (и расширенный вариант этого случая - второй микротик домой)
2. Для второго канала промежуточный OpenVPN сервер на хостере.....
3. Второй VPN делать L2TP+ipsec - соответственно есть разнесение по портам.

По всей видимости остановлюсь на втором варианте.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Есть третий вариант, достаточно бредовый, но может попробуете? Ставить на пакеты метки DSCP на входе в туннель и ловить их на втором Тике на выходе. Ну и обратный процесс... По меткам и различать. Сразу скажу, сам не пробовал. Я как бы просто предлагаю, даже без надежды на проверку... :smu:sche_nie:
Простите, если глупость сказал...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
FigaroVL
Сообщения: 10
Зарегистрирован: 10 май 2018, 09:23

После некоторого раздумья остановился на варианте двух VPN туннелей - один OpenVPN второй SSTP. Выпустил соединения через разных LTE провайдеров разделив соединения по номер dst порта. Пока внутри сети поднял на статических маршрутах, т.к. сетей не так много. Жаль конечно что в Microtik нельзя выбирать интерфейс на котором поднимается PPP клиент или сервер - это бы решило вопрос красиво.....


Ответить