PPTP через запасной канал

@GTAlex · Регистрация: 19.02.2013

Студворк — интернет-сервис помощи студентам

Есть два микротика - на одном локалка + один WAN интерфейс - RJ45 белый статичный IP
На втором тоже локалки + два WAN - основной RJ45 белый статичный IP, резервный - RJ45 через Yota Center (внешний IP плавающий) - настроено автоматическое переключение дефолтного маршрута в случае падения главного.

По основным каналам (по белым айпишникам) поднят GRE туннель через который я и подружил обе локалки маршрутами.
Но как только основной на втором падает, вся "дружба" между микротиками пропадает т.к. падает GRE тоннель и достучаться до него я уже не могу.

Соответственно думаю, что нужно поднять интерфейс который бы работал только через YOTA на втором микротике - и тут у меня затуп - не знаю как тот же PPTP Client заставить коннектиться именно через YOTA

@insect_87 · 13.11.2019, 13:37

Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты.

Второй момент - маршрутизация между локальными сетями - тут вариантов несколько.
Вы gre-интерфесы и интерфейсы шлюзов локальных сетей в ospf не зарулили?

@GTAlex · 13.11.2019, 13:54 **[ТС]**

Спасибо!

Первое вроде понятно - буду пробовать реализовать.
По второму - в ospf не заруливал т.к. не знаю что это такое, сейчас буду гуглить на эту тему

Добавлено через 2 минуты
я вообще подумал - может ну его этот gre вообще с его привязками по белым айпишникам?
оставить только pptp(l2tp) в чистом виде без каких либо меток
если рухнет основной канал, переключалка дефолтного маршрута работает - по идее pptp(l2tp) должен автоматически подняться по резервному каналу ...

@insect_87 · 13.11.2019, 14:43

Ну тут смотрите сами, можно так попробовать.
Еще, в плане безопасности, лучше используйте L2TP/IPSEC или SSTP.
GRE тоже используйте через IPSEC

@romsan · 13.11.2019, 16:04

Сообщение от GTAlex

может ну его этот gre вообще с его привязками по белым айпишникам?

я юзаю IPIP. Через ОПСОСа настроен запасной рртр. В планировщике каждые 10 минут, выполняется проверка доступности основного (с белым IP) канала - (NetWatch). Если он пропадает, то выполняется скрипт, который вырубает IPIP-тунель, и включает pptp-клиента. Как только появляется тырнет на основном канале, запускается др скрипт, делающий всё наоборот - гасит рртр и включает IPIP. На микротах поднят OSPF, т.е. необходимые маршруты сами активируются.

@NoNaMe · 13.11.2019, 16:26

Использую такой-же вариант как у romsan.
Где много трафика ходит использую IPIP.
Где нужна защита канала, PPTP/L2TP/SSTP.

@insect_87 · 13.11.2019, 16:58

Если через туннель ходит только юникастовый ipv4 трафик, то можно использовать ipip.
GRE позволяет инкапсулировать еще и мультикаст трафик.

я на сетевом уровне использую gre over ipsec, в железках по-мощнее: cisco, huawei - dmvpn, dsvpn (p2mp gre over ipsec и nhrp).
Если есть проблемы с наличием белого адреса, то l2tp+ipsec или sstp

@GTAlex · 14.11.2019, 06:37 **[ТС]**

странно, вариант с l2tp не заработал - только в save моде вырубаю основной канал - l2tp пропадает и не восстанавливается по резервному, пока save mode назад не откатит его

Добавлено через 55 секунд
однозначно нужно l2tp нужно по резервному пускать

Добавлено через 3 минуты
правда тут у меня другая проблема - но это на отдельный топик

Добавлено через 1 час 55 минут

Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты.

у меня есть дефолтный маршрут с routing-mark "rm-Yota" (через йоту)
я посмотрел в закладке Route List вообще можно

соответственно, если я в Rules сделаю правило l2tp lookup "rm-Yota"
то по идее всё что по этому интерфейсу должно работать с таблицей маршрутизации "rm-Yota" и по дефолтному маршруту - через yota? даже без каких либо пометок в mangle ?

но так не пашет

Добавлено через 7 минут
как только вырубаю основной канал, пинги до айпишника l2tp второго микротика пропадают

@insect_87 · 14.11.2019, 10:03

Стоп. Давайте по порядку.
В main таблице у вас два дефолтных маршрута:
1. С метрикой 1 и проверкой check-gateway через шлюз основного провайдера
2. С метрикой 2 через шлюз резервного провайдера
???
Как у вас реализована отказоустойчивость active/backup при MultiWAN?
Может это netwatch, скрипты, рекурсия (при таких вариантах проверяется не только шлюз) ?
Я бы порекомендовал рекурсию.

https://temofeev.ru/info/artic... -routeros/
Сначала реализуете общую отказоустойчивость по wan.

Далее 2 часть
Конкретно для случая: основной gre, резервный l2tp (пока оба без ipsec)
в mangle output делаете правило:
Помечаете l2tp (protocol udp dst-port 1701) на dst-address 1.2.3.4 (это адрес удаленного офиса) меткой маршрута l2tp_through_backup_isp.
И добавляете маршрут до 1.2.3.4/32 через шлюз резервного провайдера 2.2.2.1 с routing-mark l2tp_through_backup_isp

Будет что-то вроде того:

Code
1
2
3
4
/ip firewall mangle
Add action=mark-routing chain=output dst-address=1.2.3.4 protocol=udp dst-port=1701 new-routing-mark=l2tp_through_backup_isp
/ip route
Add dst-address=1.2.3.4/32 gateway=2.2.2.1 routing-mark=l2tp_through_backup_isp

После этого у вас должно подняться два туннеля. Первый GRE через основного провайдера, второй L2TP через резервного

3 часть уже реализация маршрутизации между локальной и удаленной сетью

@romsan · 14.11.2019, 10:25

Сообщение от insect_87

3 часть уже реализация маршрутизации между локальной и удаленной сетью

которую можно реализовать посредством поднятия OSPF на микротах. Все само пропишется, не нужно ломать голову с маршрутами. OSPF для этого и придумали...
GTAlex, а чем не понраву описанный мною вариант?

@insect_87 · 14.11.2019, 10:58

Все само пропишется

Ну как минимум networks в ospf и cost в ospf - interfaces прописать нужно будет

@GTAlex · 14.11.2019, 11:11 **[ТС]**

я пока напишу как у меня сделано - далее буду переваривать Ваше сообщение и соответственно пробовать реализовать

Офис [192.168.11.0/24] 93.93.93.154/29
Склад [192.168.12.0/24] 19.19.19.175/25 + Yota Center (dhcp client gw 10.0.0.1)

п.1 - куски моей конфигурации ниже
п.2 - идея вроде понятна - я тоже самое пробую сделать только через дефолтный маршрут с маркировкой rm-Yota
(кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера)

у меня такое правило выгрузилось для этого

Code
1
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes

дефолтные маршруты с маркировкой и разными таблицами маршрутизации я настраивал я по статье на хабре MikroTik. Правильный dst nat при использовании 2-х и более провайдеров

соответственно фаервол

Code
1
2
3
4
5
6
7
8
/ip firewall mangle> print
add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes

последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал

и маршруты

Code
1
2
3
4
5
6
7
8
9
/ip route export
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota
add distance=1 gateway=19.19.19.129
add check-gateway=ping distance=2 gateway=8.8.8.8
add check-gateway=ping distance=3 gateway=8.8.4.4
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
add comment="Office Avantel" distance=1 dst-address=192.168.11.0/24 gateway=192.168.11.146 pref-src=192.168.12.46

Code
1
2
3
4
/ip address
add address=192.168.12.1/24 interface=bridge12 network=192.168.12.0
add address=19.19.19.175/25 interface=Avantel network=19.19.19.128
add address=192.168.12.46 interface=gre-Office network=192.168.11.146

фактически, то о чём Вы пишите у меня реализовано, но видимо криво раз не пашет

Code
1
2
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota

Добавлено через 12 минут

Сообщение от romsan

GTAlex, а чем не понраву описанный мною вариант?

ospf - это будет следующий этап - ещё не разбирался с этой штукой
пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап
ну а пока занимаюсь настройкой резервного не хочу "дёргать" основной канал - на нём работают

@insect_87 · 14.11.2019, 11:44

у меня такое правило выгрузилось для этого

Оно не работает

(кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера

Нет, не для примера.
Это правило пометит весь чистый l2tp трафик, который генерит сам роутер на адрес назначения офиса.
И роут я вам нужный написал

последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал

Да, не то. Меняйте по аналогии с моим.
Это оставляем и немного изменяем:

Code
1
2
3
4
add check-gateway=ping distance=1 gateway=8.8.8.8  target-scope=10 scope=20
add check-gateway=ping distance=2 gateway=8.8.4.4  target-scope=10 scope=20
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10

Это выключаем/деактивируем

Code
1
add distance=1 gateway=19.19.19.129

Добавьте маршрут до белого адреса офиса по аналогии с моим с routing-mark.

ospf - это будет следующий этап - ещё не разбирался с этой штукой
пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап

Рекурсию поправьте, уберите маршрут ( add distance=1 gateway=19.19.19.129), исправьте последнее правило в мангл и допишите маршрут.

Как только оба туннеля будут в up (gre должен строиться через основного прова, l2tp через резервного),
переходим к динамической маршрутизации

@GTAlex · 14.11.2019, 12:07 **[ТС]**

Сообщение от insect_87

Помечаете l2tp (protocol udp dst-port 1701)

Ёлы палы - главного то я и не приметил, хотя Вы всё написали !!! пипец ... ща заменю

@insect_87 · 14.11.2019, 12:16

Не указывайте там out-interface l2tp, я правило вам написал без лишнего

+поправьте рекурсию, уберите лишнее

@GTAlex · 14.11.2019, 12:17 **[ТС]**

да туннели то всегда up - только l2tp по основному шпарит

я так понимаю - если всё пойдёт по задуманному - то на стороне l2tp сервера во входящем l2tp соединении CallerID должен быть какой то yota динамический (не 19.19.19.129)

@insect_87 · 14.11.2019, 12:19

Ну посмотрите.

@GTAlex · 14.11.2019, 12:21 **[ТС]**

Code
1
2
3
4
5
6
7
8
9
/ip route
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel scope=20
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota scope=20
add check-gateway=ping distance=1 gateway=8.8.8.8 scope=10
add check-gateway=ping distance=2 gateway=8.8.4.4 scope=10
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
/ip route rule
add src-address=19.19.19.175/32 table=rm-Avantel

Code
1
2
3
4
5
6
7
8
/ip firewall mangle
add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no
add action=mark-routing chain=output dst-address=93.93.93.154 dst-port=1701 new-routing-mark=rm-Yota passthrough=yes protocol=udp

привёл в соответствие с Вашими указаниями
сбросил l2tp соединение
поднялось с caller ID с белым айпишником - т.е. пошло не по резервному

@insect_87 · 14.11.2019, 12:35

Code
1
2
/ip route rule
add src-address=19.19.19.175/32 table=rm-Avantel

Это зачем?
Выключите

поднялось с caller ID с белым айпишником

С каким именно?
Avantel?

@GTAlex · 14.11.2019, 12:41 **[ТС]**

Выключил.
Да - с Авантеловским 19.19.19.175

Добавлено через 55 секунд
в сейф моде вырубил на складе Авантел - l2tp по йоте так же не поднялся

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 172

	PPTP через запасной канал 13.11.2019, 13:19. Показов 9273. Ответов 47 Метки нет (Все метки) Есть два микротика - на одном локалка + один WAN интерфейс - RJ45 белый статичный IP На втором тоже локалки + два WAN - основной RJ45 белый статичный IP, резервный - RJ45 через Yota Center (внешний IP плавающий) - настроено автоматическое переключение дефолтного маршрута в случае падения главного. По основным каналам (по белым айпишникам) поднят GRE туннель через который я и подружил обе локалки маршрутами. Но как только основной на втором падает, вся "дружба" между микротиками пропадает т.к. падает GRE тоннель и достучаться до него я уже не могу. Соответственно думаю, что нужно поднять интерфейс который бы работал только через YOTA на втором микротике - и тут у меня затуп - не знаю как тот же PPTP Client заставить коннектиться именно через YOTA 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	13.11.2019, 13:37
	Сообщение было отмечено GTAlex как решение Решение Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты. Второй момент - маршрутизация между локальными сетями - тут вариантов несколько. Вы gre-интерфесы и интерфейсы шлюзов локальных сетей в ospf не зарулили? 2

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 172
	13.11.2019, 13:54 [ТС]
	Спасибо! Первое вроде понятно - буду пробовать реализовать. По второму - в ospf не заруливал т.к. не знаю что это такое, сейчас буду гуглить на эту тему Добавлено через 2 минуты я вообще подумал - может ну его этот gre вообще с его привязками по белым айпишникам? оставить только pptp(l2tp) в чистом виде без каких либо меток если рухнет основной канал, переключалка дефолтного маршрута работает - по идее pptp(l2tp) должен автоматически подняться по резервному каналу ... 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	13.11.2019, 14:43
	Ну тут смотрите сами, можно так попробовать. Еще, в плане безопасности, лучше используйте L2TP/IPSEC или SSTP. GRE тоже используйте через IPSEC 0

@NoNaMe Модератор 2607 / 745 / 160 Регистрация: 10.06.2009 Сообщений: 2,948
	13.11.2019, 16:26
	Использую такой-же вариант как у romsan. Где много трафика ходит использую IPIP. Где нужна защита канала, PPTP/L2TP/SSTP. 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	13.11.2019, 16:58
	Если через туннель ходит только юникастовый ipv4 трафик, то можно использовать ipip. GRE позволяет инкапсулировать еще и мультикаст трафик. я на сетевом уровне использую gre over ipsec, в железках по-мощнее: cisco, huawei - dmvpn, dsvpn (p2mp gre over ipsec и nhrp). Если есть проблемы с наличием белого адреса, то l2tp+ipsec или sstp 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	14.11.2019, 12:16
	Не указывайте там out-interface l2tp, я правило вам написал без лишнего +поправьте рекурсию, уберите лишнее 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 172
	14.11.2019, 12:17 [ТС]
	да туннели то всегда up - только l2tp по основному шпарит я так понимаю - если всё пойдёт по задуманному - то на стороне l2tp сервера во входящем l2tp соединении CallerID должен быть какой то yota динамический (не 19.19.19.129) 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	14.11.2019, 12:19
	Ну посмотрите. 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 172
	14.11.2019, 12:41 [ТС]
	Выключил. Да - с Авантеловским 19.19.19.175 Добавлено через 55 секунд в сейф моде вырубил на складе Авантел - l2tp по йоте так же не поднялся 0

PPTP через запасной канал

Решение