IPsec туннель

Обсуждение ПО и его настройки
noname05
Сообщения: 2
Зарегистрирован: 23 авг 2012, 09:44

можно ли сделать с mikrotikOS вот такое:
имеем
1. 2 роутера с mikrotik
2. на каждом роутере 2 Wan и 1 Lan
3. между ними поднят IPsec туннель
необходимо
при падении канала на одном из Wan что бы тунель поднялся по резервному каналу


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Вполне возможно

если первый канал падает - у вас меняется маршрутизация - соответственно тоннель летит через второй канал


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
noname05
Сообщения: 2
Зарегистрирован: 23 авг 2012, 09:44

но ведь ИПадрес то поменяется, будет ли его принимать противоположная сторона, и как вообще реализовано такое туннелирование в вашей ос


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

почитайте

http://wiki.mikrotik.com/wiki/Russian/% ... E_Mikrotik

тут основные способы соединения офисов


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Jumper
Сообщения: 7
Зарегистрирован: 24 мар 2012, 01:51

что бы не плодить темы, спрошу тут.
имеется два 751, один дома, второй тестовый на работе,
домашний через pppoe в интернет ходит, тестовый - через yota (прямое соединение),
по примеру указанной выше статьи сделал:
1) создал pptp- сервер на домашнем и pptp-клиент на тестовом
2) сделал на домашнем проброс входящего порта 1723 tcp
3) коннект к pptp серверу - есть
4) добавил EoIP и присоединил к мостам
5) пинг на устройства проходит, но ни какие другие сервисы не доступны
отключал блокирующие правила в фаерволе - не помогает.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

пинг проходит - значит канал работает

уточните, что за другие сервисы у вас не работают?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Jumper
Сообщения: 7
Зарегистрирован: 24 мар 2012, 01:51

вот только кроме пинга ничего не работает, ни SMB ни FTP ни HTTP даже на удалённый 751 зайти не могу (через winbox видно удалённый роутер, под соединяюсь - но внутри окон ни какие интерфейсы не отображает и через некоторое время соединение разрывает)
пинг стабильный, с ключём -l 1000 показывает 30-70мс

может я какие правила фаервола не прописал?

Код: Выделить всё

/ip firewall filter
add action=accept chain=input disabled=no dst-port=1723 in-interface=\
    pppoe-out1 protocol=tcp
add action=accept chain=input disabled=no in-interface=pppoe-out1 protocol=\
    gre
add action=accept chain=input disabled=no in-interface=pptp-in1
add action=accept chain=output disabled=no out-interface=pptp-in1
add action=accept chain=input disabled=no in-interface=filial_EoIP
add action=accept chain=output disabled=no out-interface=filial_EoIP


Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
    icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
    established disabled=no in-interface=pppoe-out1
add action=accept chain=input comment="Added by webbox" connection-state=\
    related disabled=no in-interface=pppoe-out1
add action=drop chain=input comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1
add action=jump chain=forward comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1 jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
    established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
    related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" disabled=no \
    out-interface=pppoe-out1 to-addresses=0.0.0.0


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

вроде ничего блокирующего нет.

нарисуйте схему с подсетями и с адресным пространством между роутерами

скорее всего в схеме чего-то не хватает (например правил роутинга)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Jumper
Сообщения: 7
Зарегистрирован: 24 мар 2012, 01:51

 схема
Изображение
Изображение
Изображение

как видно - удалённый Wifi router работающий в режиме моста(свитча) пингуется, но зайти на него по HTTP не могу
пингуется 5.1 и 5.2 и 10.1
если отключаю EoIP - 10 подсеть перестаёт пинговаться


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

в настройках eoip поиграйтесь с параметром arp

(из вариантов поставить прокси-арп)

с компа то что-то пингуется? и с какого компа пингуете?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить