IPsec туннель

[noname05]

можно ли сделать с mikrotikOS вот такое:
имеем
1. 2 роутера с mikrotik
2. на каждом роутере 2 Wan и 1 Lan
3. между ними поднят IPsec туннель
необходимо
при падении канала на одном из Wan что бы тунель поднялся по резервному каналу

[iSupport]

Вполне возможно

если первый канал падает - у вас меняется маршрутизация - соответственно тоннель летит через второй канал

[noname05]

но ведь ИПадрес то поменяется, будет ли его принимать противоположная сторона, и как вообще реализовано такое туннелирование в вашей ос

[iSupport]

почитайте

http://wiki.mikrotik.com/wiki/Russian/% ... E_Mikrotik

тут основные способы соединения офисов

[Jumper]

что бы не плодить темы, спрошу тут.
имеется два 751, один дома, второй тестовый на работе,
домашний через pppoe в интернет ходит, тестовый - через yota (прямое соединение),
по примеру указанной выше статьи сделал:
1) создал pptp- сервер на домашнем и pptp-клиент на тестовом
2) сделал на домашнем проброс входящего порта 1723 tcp
3) коннект к pptp серверу - есть
4) добавил EoIP и присоединил к мостам
5) пинг на устройства проходит, но ни какие другие сервисы не доступны
отключал блокирующие правила в фаерволе - не помогает.

[iSupport]

пинг проходит - значит канал работает

уточните, что за другие сервисы у вас не работают?

[Jumper]

вот только кроме пинга ничего не работает, ни SMB ни FTP ни HTTP даже на удалённый 751 зайти не могу (через winbox видно удалённый роутер, под соединяюсь - но внутри окон ни какие интерфейсы не отображает и через некоторое время соединение разрывает)
пинг стабильный, с ключём -l 1000 показывает 30-70мс

может я какие правила фаервола не прописал?

Код: Выделить всё

/ip firewall filter
add action=accept chain=input disabled=no dst-port=1723 in-interface=\
    pppoe-out1 protocol=tcp
add action=accept chain=input disabled=no in-interface=pppoe-out1 protocol=\
    gre
add action=accept chain=input disabled=no in-interface=pptp-in1
add action=accept chain=output disabled=no out-interface=pptp-in1
add action=accept chain=input disabled=no in-interface=filial_EoIP
add action=accept chain=output disabled=no out-interface=filial_EoIP

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
    icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
    established disabled=no in-interface=pppoe-out1
add action=accept chain=input comment="Added by webbox" connection-state=\
    related disabled=no in-interface=pppoe-out1
add action=drop chain=input comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1
add action=jump chain=forward comment="Added by webbox" disabled=no \
    in-interface=pppoe-out1 jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
    established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
    related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" disabled=no \
    out-interface=pppoe-out1 to-addresses=0.0.0.0

[iSupport]

вроде ничего блокирующего нет.

нарисуйте схему с подсетями и с адресным пространством между роутерами

скорее всего в схеме чего-то не хватает (например правил роутинга)

[Jumper]

 схема

как видно - удалённый Wifi router работающий в режиме моста(свитча) пингуется, но зайти на него по HTTP не могу
пингуется 5.1 и 5.2 и 10.1
если отключаю EoIP - 10 подсеть перестаёт пинговаться

[iSupport]

в настройках eoip поиграйтесь с параметром arp

(из вариантов поставить прокси-арп)

с компа то что-то пингуется? и с какого компа пингуете?