Привет всем, помогите пожалуйста разобраться со странным поведением ipsec тонелей.
Имеем Mikrotik 951Ui-2HnD на нем два провайдера с белыми Ip, за ним прокси(режет инет и статистика) и DI-804HV, на котором висят ipsec тонели. Сразу оговорюсь, что убрать 804 пока не имеется возможности(не моя прихоть).
Задача: Перенаправить ipsec на длинк.
Решение: Я посредством ната прокинул порты 500 и 4500 с второго провайдера на длинк, первый провайдер используется для нужд офиса и когда отваливается мы используем ресурсы второго. Сделано при помощи маршрутов и доступности шлюза.
p.s. может надо использовать не NAT, а Forward?
Проблема: Вроде все работает, но через время перестают ходить пакеты через ipsec тонели, хотя сами тонели поднимаются.
один раз помогла перезагрузка длинка на стороне клиента. Есть подозрение, что в какой то момент пакеты перестают уходить на адрес назначения, может не в тот канал микротика. Эксперименты проводить не можем, т.к. люди постоянно работают, а проблема проявляется не сразу и если отвалиться ночью, то теряем много времени.
Спасибо.
Перенапраление ipsec через Mikrotik
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 5
- Зарегистрирован: 29 окт 2013, 16:06
wan1 и wan2 это интерфейсы провайдера
- Вложения
-
- схема.JPG (37.32 КБ) 3353 просмотра
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 5
- Зарегистрирован: 29 окт 2013, 16:06
он типо vpn сервер, к немо подключаются по ipsec, убрать его пока нет возможности
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну это все и микротик умеет.
Выведите этот злополучный длинг в DMZ и проблема ваша будет решена
Выведите этот злополучный длинг в DMZ и проблема ваша будет решена
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 29 окт 2013, 16:06
в финале нашего внедрения он и будет все выполнять, но пока начальство очкует, что одна коробочка заменяет все
Подскажите команду для ввода в DMZ?
И не возникнет вопроса с пробросом других портов в сеть через микротик, на другие устройства?
Подскажите команду для ввода в DMZ?
И не возникнет вопроса с пробросом других портов в сеть через микротик, на другие устройства?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
В смысле команда? ))) Берете у провайдера еще один белый ип, на микротике поднимаете бридж между ВАН и микротиком куда воткнуто это несчастье админа под названием ДЛИНК. Бриджу назначаете ваш текущий ИП, несчастью второй, шлюзом пишем шлюз провайдера. Усе, длинг напрямую в инет смотрит.
А если в настройках бриджа галочку поставить то можно будет рулить трафиком в этом мосту средствами фаервола
А если в настройках бриджа галочку поставить то можно будет рулить трафиком в этом мосту средствами фаервола
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 29 окт 2013, 16:06
т.е. банально сделать проброс портов не получиться?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
В теории получится но где то давно я читал что все эти тоннель должны работать напрямую, без каких либо НАТ и т.п.
Есть интересная задача и бюджет? http://mikrotik.site