Страница 3 из 3
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 12:45
xvo
При чем тут вообще OSPF?!
Он бегает уже между "локальными" адресами, то есть да, по дефолтной таблице.
Вопрос действительно выеденного яйца не стоит.
Ставить по коробке на каждый канал вместо того, чтобы добавить в конфиг в буквальном смысле несколько строк... ну это из разряда бреда.
И как я опять же уже говорил - эта схема и есть стандартная, и для GRE-туннелей обернутых IPSec'ом она работала всегда.
Тут речь только о том, что с недавних пор её можно применять и для L2TP обернутого IPSec'ом тоже - то есть для машин находящихся за натом.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 14:16
Erik_U
xvo писал(а): ↑09 фев 2021, 12:45
При чем тут вообще OSPF?!
Он нужен. Но не работает толком на stable. Не работает с 2-мя таблицами. И т.д.
xvo писал(а): ↑09 фев 2021, 12:45вместо того, чтобы добавить в конфиг в буквальном смысле несколько строк..
Приведите пожалуйста пример нескольких строк конфига с обновлением src при динамических адресах и работоспособным ospf.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 15:04
xvo
Erik_U писал(а): ↑09 фев 2021, 14:16
xvo писал(а): ↑09 фев 2021, 12:45
При чем тут вообще OSPF?!
Он нужен. Но не работает толком на stable. Не работает с 2-мя таблицами. И т.д.
На 6.47.xx работает нормально.
Работать с несколькими таблицами от него и не требуется.
Erik_U писал(а): ↑09 фев 2021, 14:16
xvo писал(а): ↑09 фев 2021, 12:45вместо того, чтобы добавить в конфиг в буквальном смысле несколько строк..
Приведите пожалуйста пример нескольких строк конфига с обновлением src при динамических адресах и работоспособным ospf.
Код: Выделить всё
/ip route rule add dst-address=ПРОСТРАНСТВО_ЛОКАЛЬНЫХ_АДРЕСОВ table=main
/ip route rule add action=lookup-only-in-table comment=ISP1 src-address=WAN_АДРЕС1 table=ISP1 comment="RULE-ISP1
/ip route rule add action=lookup-only-in-table comment=ISP2 src-address=WAN_АДРЕС2 table=ISP2 comment="RULE-ISP2
Скрипт для одного из dhcp-клиентов примерно такой:
{
:if ($bound=1) do={
:local test1 [/interface l2tp-client find where name=L2TP_КЛИЕНТ1]
:if ([/interface l2tp get $test1 src-address] != $"lease-address") do={
:local test2 [/ip route find where comment="ROUTE-ISP1-MAIN"]
:if ([/ip route get $test2 gateway] != $"gateway-address") do={
/ip route set $test2 gateway=$"gateway-address"
/ip route set [find where comment="ROUTE-ISP1"] gateway=$"gateway-address"
}
/interface l2tp-client set $test1 src-address=$"lease-address" disabled=yes
/ip route rule set [find where comment="ROUTE-ISP1"] src-address=$"lease-address"
:delay 30
/interface l2tp-client set $test1 disabled=no
}
}
}
Красный кусок он опциональный - подменяет gateway в обоих дефолтных маршрутах связанных с этим провайдером, если вдруг поменяется не только адрес, но и gateway.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 15:44
Erik_U
Спасибо!
xvo писал(а): ↑09 фев 2021, 15:04
На 6.47.xx работает нормально.
В работе с дефолтами у него баги были.
Redistribute default route в настройках Instance то работала, то нет.
Нужно было то добавлять сеть 0.0.0.0/0, то включать эту настройку.
С включенной настройкой дефолтные маршруты то добавляются несколькими строками с разной стоимостью, то одной строкой с несколькими адресами внутри, и общей стоимостью. И опять, то работало так, то эдак, то никак. Куда-то девались строки из таблицы OSPF. При старте они на месте, а спустя 2 недели трети нет, хотя все интерфейсы везде подняты. И т.д.
Когда это выливается в необходимость срочно ехать за 150 км - уйти на long-term и купить вторую железку за 3 т.р. - очень грамотное и надежное решение.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 16:35
xvo
Ясно, у меня дефолтный маршрут нигде не раздается, и почти везде long-term, так что не натыкался.
Ну, и справедливости ради, в сценарии данной темы дефолтный маршрут будет раздавать сервер - на нем вполне можно оставить long-term, а перевести на stable только клиента.
Ну и опять же - железка за 3т.р. это если вам трафик через нее не гонять.
А если оба провайдера, скажем, ближе к гигабиту, то немного другая арифметика выйдет.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 17:41
Erik_U
Если по гигабиту, то да.
Но речь вроде о камере в облако. Задача важная, но не ресурсоемкая.
Vadik7 писал(а): ↑07 фев 2021, 18:30
Глобальная задача - получить себе домой один "белый" IP адрес со стабильным подключением (нужен для записи в облако видео).
Локальная задача - задействовать для стабильности 2 канала VPN, накинув на них OSPF.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 18:25
xvo
В любом случае, решение задачи я озвучил.
И получается по задаче, что дефолтный маршрут то в туннель тогда и не нужен вовсе - туда возвращать только то, что оттуда же и пришло.
Так что с OSPF даже гипотетических никаких проблем не будет.
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 22:26
Ca6ko
xvo писал(а): ↑09 фев 2021, 16:35
на нем вполне можно оставить long-term, а перевести на stable только клиента.
Long term уже вышел 6.47
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 09 фев 2021, 22:54
xvo
Ca6ko писал(а): ↑09 фев 2021, 22:26
Long term уже вышел 6.47
Подождем-с несколько дней
Re: Два канала L2TP/IPSec в один адрес
Добавлено: 10 фев 2021, 09:43
Ca6ko
xvo писал(а): ↑09 фев 2021, 22:54
... несколько дней
Я для себя определился в месяц
