Load balancing и VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
mazzahaker
Сообщения: 2
Зарегистрирован: 04 окт 2018, 13:14

Коллеги, добрый день!
Прошерстил кучу статей и мануалов по этому поводу, однако, так и не могу понять, как обойти проблему.
Есть конфигурация микротика:

Код: Выделить всё

/ip address
add address=1.1.1.1/24 interface=ether1 comment="MTS"
add address=2.2.2.2/24 interface=ether2 comment="Avant"

add address=10.0.4.0/24 interface=ether4 comment="LAN"
add address=10.0.5.0/24 interface=ether4 comment="LAN"

/ip route
add check-gateway=ping distance=1 gateway=8.8.8.8 target-scope=30
add check-gateway=ping distance=2 gateway=8.8.4.4 target-scope=30
add check-gateway=ping distance=1 dst-address=8.8.8.8/32 gateway=х.х.х.х


/ip firewall nat
add action=masquerade chain=srcnat comment="MTS" out-interface=ether1
add action=masquerade chain=srcnat comment="Avant" out-interface=ether2

/ip firewall mangle
add action=mark-connection chain=input comment="MTS Input" in-interface=ether1 new-connection-mark="MTS Input"
add action=mark-connection chain=input comment="Avant Input" in-interface=ether2 new-connection-mark="Avant Input"

add action=mark-routing chain=output comment="MTS Output" connection-mark="Tars Input" new-routing-mark="Out MTS"
add action=mark-routing chain=output comment="Avant Output" connection-mark="Avant Input" new-routing-mark="Avant Telecom"

add action=mark-routing chain=prerouting comment="LAN load balancing 2-0" \
    dst-address-type=!local in-interface=ether3 new-routing-mark=\
    "Out MTS" passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/0
add action=mark-routing chain=prerouting comment="LAN load balancing 2-1" \
    dst-address-type=!local in-interface=ether3 new-routing-mark=\
    "Avant Telecom" passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/1
Разумеется, вместе с этим конфигом у меня и gateway прописаны корректно как для main, так и для помеченных маршрутов.
Все работает, кроме VPN. Прошу помощи - не понимаю в чем проблема. Вроде пакеты приходят и уходят через одного провайдера. Это не должно рушить VPN. Либо как исключить из балансинга VPN? :wo)(ll:
Спасибо!

P.S. Без балансинга у меня все круто работает на обоих провайдерах. И отказоустойчивость тоже :)
P.P.S. VPN у меня сделан на OVPN


mazzahaker
Сообщения: 2
Зарегистрирован: 04 окт 2018, 13:14

Попытался отдельно помечать SRS адрес либо сам интерфейс ovpn дополнительными входящими mark и исходящими в соответствии с провайдером, исключая их из PCC, но все равно не хочет работать...
Быть может по другим критериям стоит отсекать?
При этом видно, что по указанным правилам пакеты маркируются - счетчики идут.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

У меня аналогичная проблема. При DUAL WAN с меченными маршрутами и манглами VPN работают только по главным не меченным маршрутам. По меченным никак не хотят.
Как только включаю меченные маршруты - все работает, а VPN все разных типов сразу отваливаются. Переключаю обратно - тут же поднимаются.

Может найдутся гуру, которые ткнут пальцем и объяснят, какие нужны дополнительные манглы чтобы VPN тоже работали.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Sertik писал(а): 05 окт 2018, 12:04 Может найдутся гуру, которые ткнут пальцем и объяснят, какие нужны дополнительные манглы чтобы VPN тоже работали.
https://www.vasilevkirill.com/MikroTik/1/
http://papa-admin.ru/mikrotik/129-mikro ... D0%BB.html
читали ?


Александр
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

У Васильева читал, делал по инструкции - ни фига не работало, может ошибся где.
А вот за вторую ссылку большое спасибо, попробую разобраться. Так я и знал, что правил не хватало.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Прочитал и то, что указали, но простите за тупость - так и не понял !

Я настраиваю роутер, являющийся VPN-клиентом. У него два WAN. Так вот, вопросы - нужно ли отдельно прописывать какие-то манглы для VPN-трафика чтобы просто работал скажем pptp-клиент ?
У меня вроде все работает, но как только я включаю манглы резервирования и маршруты через маркированные таблицы - VPN-клиент отваливается !
Нужно ли ограничивать маркированные маршруты своими таблицами типа:

/ip route rule add action lookup-only in-table бла бла .... метка , таблица ? (для каждого WAN).

Ни х не понятно ... Во всех инструкциях все колбасят по разному, объяснения такие, что новичку .... не разобраться никогда.
Памятник бы поставил при жизни человеку, который бы не пожадничал и выложил бы инструкцию нормальную и СОВРЕМЕННУЮ с подробными комментариями как сделать резервирование и балансировку на двух Ван, так чтобы роутер поддерживал при этом все соединения и отдельно бы прокомментировал как заворачивать то или другое куда нужно !
Понимаю, что это самый хлеб для профи, поэтому они и не колятся до конца ... Памятник понятно никому при жизни не нужен ...
Ну так в свою очередь обещаю помогать этому челу чем смогу ... Может и пригожусь ...

Если нужно выложу VPN, маршруты, нат и манглы своей настройки ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

. Вроде пакеты приходят и уходят через одного провайдера.
Не верное утверждение

Код: Выделить всё

add action=mark-routing chain=prerouting comment="LAN load balancing 2-0" \
    connection-mark=no-mark in-interface=ether3 new-routing-mark="Out MTS" \
    passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-routing chain=prerouting comment="LAN load balancing 2-1" \
    connection-mark=no-mark in-interface=ether3 new-routing-mark=\
    "Avant Telecom" passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/1
ПыСы: Писал спросони и не до конца в конфиг вник. Видимо ТС имел в виду что у него трафик внутри ВПН не ходит. Соответственно в PCC достаточно исключения добавить и будет работать


Есть интересная задача и бюджет? http://mikrotik.site
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Подскажите, что тут неправильно ? Почему VPN не хочет работать через меченные маршруты ?

/ip route
add distance=1 gateway=192.168.88.1 routing-mark=wan1-out-route
add distance=2 gateway=192.168.90.1 routing-mark=wan1-out-route
add distance=1 gateway=192.168.90.1 routing-mark=wan2-out-route
add distance=2 gateway=192.168.88.1 routing-mark=wan2-out-route
add distance=1 gateway=192.168.88.1
add distance=2 gateway=192.168.90.1
add check-gateway=ping comment="Root for PPTP VPN" distance=1 \
dst-address=192.168.0.0/24 gateway=10.10.15.1 scope=255
add check-gateway=ping comment="Root for PPTP VPN" distance=1 \
dst-address=192.168.87.0/24 gateway=10.10.15.1 scope=255
add check-gateway=ping comment="Root for PPTP VPN" distance=1 \
dst-address=192.168.88.0/24 gateway=10.10.15.1 scope=255

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface=ether2-master new-connection-mark=wan1-conn passthrough=yes \
per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface=ether2-master new-connection-mark=wan2-conn passthrough=yes \
per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=wan1-conn \
dst-address-type=!local new-routing-mark=wan1-route passthrough=no
add action=mark-routing chain=prerouting connection-mark=wan2-conn \
dst-address-type=!local new-routing-mark=wan2-route passthrough=no
add action=mark-connection chain=prerouting connection-state=new \
in-interface=ether1 new-connection-mark=wan1-conn passthrough=yes
add action=mark-connection chain=prerouting connection-state=new \
in-interface=ether5 new-connection-mark=wan2-conn passthrough=yes
add action=mark-routing chain=output connection-mark=wan1-conn \
new-routing-mark=wan1-out-route passthrough=no
add action=mark-routing chain=output connection-mark=wan2-conn \
new-routing-mark=wan2-out-route passthrough=no

/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.88.0/24 out-interface=\
ether1 to-addresses=192.168.88.13
add action=src-nat chain=srcnat dst-address=192.168.90.0/24 out-interface=\
ether5 to-addresses=192.168.90.2


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Он и не будет работать ровно как и проброс портов. Ответ на ваш вопрос есть в этой ветке


Есть интересная задача и бюджет? http://mikrotik.site
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

В смысле ? Вообще не возможно сделать так, чтобы при балансировке работал VPN ?
Где есть ответ ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить