Russian Users MikroTik | Форум пользователей MikroTik

Все таки для простоты посоветовал бы ipip между микротиками именно завести ...
Оно так будет проще, гораздо проще ...

А с двумя провайдерами - на каком мт два? на ццр или на хексе?

И да, еще раз напомню - 3des у них не аппаратное, а вот AES аппаратное...

На hEX - 2 провайдера, на CCR - 4. Туннель строится по одному провайдеру.

А можно сделать так: на одной стороне ipip, а на другой - просто IPSEC?

saszay писал(а): ↑18 фев 2018, 12:06 На hEX - 2 провайдера, на CCR - 4. Туннель строится по одному провайдеру.

А можно сделать так: на одной стороне ipip, а на другой - просто IPSEC?

В чем прелесть ipip - вы их можете построить несколько (и если не будет связи у одного из провайдеров - все будет работать через другого)

Т.е. по сути вы можете два провайдера с хекса прицепить к четырем провайдерам ццр каждый ... при этом пока жив хоть один провайдер на обоих сторонах связь у вас будет. Что на мой взгляд просто шикарно

Нет, с одной ipip с другой ipsec не получится....

Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис

saszay писал(а): ↑18 фев 2018, 12:26 Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис

Вы поднимаете IPIP (с двух сторон), всё, логический туннель поднялся.
На интерфейсах IPIP (на роутерах) задаёте какую то сетку /30 и на базе её делается IPSEC
И уже через поднятый IPSec можно загонять данные.
(как пример)....

И Вы работаете с роутерами,но почему то путаете, IPIP,GRE - это название туннелей (протоколы),
такие интерфейсы есть в роутере (когда их создаёшь).
IPSEC - это технология шифрования (хотя и тоже и протокол).
Поэтому поднять туннель и зашифровать его = по сути две операции...

saszay писал(а): ↑18 фев 2018, 12:26 Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис

Почему не работает? Сам канал от роутера до роутера - шифрованный
Ну вам виднее.

Проще на самом деле посмотреть когда все включено - что там происходит, чем со слов разбираться...

Vlad-2 писал(а): ↑18 фев 2018, 12:34

saszay писал(а): ↑18 фев 2018, 12:26 Тогда этот вариант мне пока не подходит, т.к. не работает IPSEC. А завтра нужно будет менять опять на DFL, чтобы работал офис

Вы поднимаете IPIP (с двух сторон), всё, логический туннель поднялся.
На интерфейсах IPIP (на роутерах) задаёте какую то сетку /30 и на базе её делается IPSEC
И уже через поднятый IPSec можно загонять данные.
(как пример)....

Как то у вас все сложно ... если не использовать динамическую маршрутизацию - можно обойтись без адресов :)

в ипсек вы просто заворачиваете протокол ip-encap на двух концах тоннеля.

А что там внутри, есть адреса или нет - не суть важно ...

как пример (как раз для Ipip)

/ip ipsec policy add action=encrypt disabled=no dst-address=RemoteISPIP/32 dst-port=any ipsec-protocols=esp level=require proposal=default protocol=ipencap src-address=LocalISPIP/32 src-port=any tunnel=no

Попробовал поднять IPIP туннель. В филиале в логах валится ошибка remoteHost peer sent packet for dead phase 2

saszay писал(а): ↑18 фев 2018, 13:16 Попробовал поднять IPIP туннель. В филиале в логах валится ошибка remoteHost peer sent packet for dead phase 2

Отключите весь IPSEC Для данного хоста с обоих сторон.
После этого в ipip тоннеле просто вставте с обеих сторон ключ ipsec

И обязательно в тоннеле указывайте и ремот и локал адрес так как у вас несколько провайдеров

Вроде чуть задышало. Только почему-то не все пакеты заворачивает в туннель, отдельные пытаются пойти по маршруту по умолчанию...