45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
1

PPTP через запасной канал

13.11.2019, 13:19. Показов 6781. Ответов 47
Метки нет (Все метки)

Есть два микротика - на одном локалка + один WAN интерфейс - RJ45 белый статичный IP
На втором тоже локалки + два WAN - основной RJ45 белый статичный IP, резервный - RJ45 через Yota Center (внешний IP плавающий) - настроено автоматическое переключение дефолтного маршрута в случае падения главного.

По основным каналам (по белым айпишникам) поднят GRE туннель через который я и подружил обе локалки маршрутами.
Но как только основной на втором падает, вся "дружба" между микротиками пропадает т.к. падает GRE тоннель и достучаться до него я уже не могу.

Соответственно думаю, что нужно поднять интерфейс который бы работал только через YOTA на втором микротике - и тут у меня затуп - не знаю как тот же PPTP Client заставить коннектиться именно через YOTA
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
13.11.2019, 13:19
Ответы с готовыми решениями:

Настройка RDP через PPTP
Доброго дня уважаемые и с наступившим годом!!! Ситуация такая что после приезда, смены...

Доступ в локальную сеть через VPN PPTP
Подскажите что нужно прописать чтоб клиент VPN видели всю сеть или только определенные IP адреса...

Подключение через pptp есть, ping не проходит
Здравствуйте! В организации появилась необходимость присвоить пользователям и серверам серый ip...

RDP c локальной машины из вне, через mikrotik (VPN pptp) на локальную машину, возможно?
Всем привет, собственно вопрос. Есть офис, в роли роутера выступает mikrotik, на котором сейчас...

47
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
13.11.2019, 13:37 2
Лучший ответ Сообщение было отмечено GTAlex как решение

Решение

Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты.

Второй момент - маршрутизация между локальными сетями - тут вариантов несколько.
Вы gre-интерфесы и интерфейсы шлюзов локальных сетей в ospf не зарулили?
2
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
13.11.2019, 13:54  [ТС] 3
Спасибо!

Первое вроде понятно - буду пробовать реализовать.
По второму - в ospf не заруливал т.к. не знаю что это такое, сейчас буду гуглить на эту тему

Добавлено через 2 минуты
я вообще подумал - может ну его этот gre вообще с его привязками по белым айпишникам?
оставить только pptp(l2tp) в чистом виде без каких либо меток
если рухнет основной канал, переключалка дефолтного маршрута работает - по идее pptp(l2tp) должен автоматически подняться по резервному каналу ...
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
13.11.2019, 14:43 4
Ну тут смотрите сами, можно так попробовать.
Еще, в плане безопасности, лучше используйте L2TP/IPSEC или SSTP.
GRE тоже используйте через IPSEC
0
Эксперт по компьютерным сетям
4299 / 1967 / 412
Регистрация: 17.10.2015
Сообщений: 8,419
13.11.2019, 16:04 5
Цитата Сообщение от GTAlex Посмотреть сообщение
может ну его этот gre вообще с его привязками по белым айпишникам?
я юзаю IPIP. Через ОПСОСа настроен запасной рртр. В планировщике каждые 10 минут, выполняется проверка доступности основного (с белым IP) канала - (NetWatch). Если он пропадает, то выполняется скрипт, который вырубает IPIP-тунель, и включает pptp-клиента. Как только появляется тырнет на основном канале, запускается др скрипт, делающий всё наоборот - гасит рртр и включает IPIP. На микротах поднят OSPF, т.е. необходимые маршруты сами активируются.
0
Модератор
Эксперт по компьютерным сетям
1115 / 516 / 92
Регистрация: 10.06.2009
Сообщений: 2,052
13.11.2019, 16:26 6
Использую такой-же вариант как у romsan.
Где много трафика ходит использую IPIP.
Где нужна защита канала, PPTP/L2TP/SSTP.
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
13.11.2019, 16:58 7
Если через туннель ходит только юникастовый ipv4 трафик, то можно использовать ipip.
GRE позволяет инкапсулировать еще и мультикаст трафик.

я на сетевом уровне использую gre over ipsec, в железках по-мощнее: cisco, huawei - dmvpn, dsvpn (p2mp gre over ipsec и nhrp).
Если есть проблемы с наличием белого адреса, то l2tp+ipsec или sstp
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 06:37  [ТС] 8
странно, вариант с l2tp не заработал - только в save моде вырубаю основной канал - l2tp пропадает и не восстанавливается по резервному, пока save mode назад не откатит его

Добавлено через 55 секунд
однозначно нужно l2tp нужно по резервному пускать

Добавлено через 3 минуты
правда тут у меня другая проблема - но это на отдельный топик

Добавлено через 1 час 55 минут
Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты.
у меня есть дефолтный маршрут с routing-mark "rm-Yota" (через йоту)
я посмотрел в закладке Route List вообще можно

соответственно, если я в Rules сделаю правило l2tp lookup "rm-Yota"
то по идее всё что по этому интерфейсу должно работать с таблицей маршрутизации "rm-Yota" и по дефолтному маршруту - через yota? даже без каких либо пометок в mangle ?

но так не пашет

Добавлено через 7 минут
как только вырубаю основной канал, пинги до айпишника l2tp второго микротика пропадают
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
14.11.2019, 10:03 9
Стоп. Давайте по порядку.
В main таблице у вас два дефолтных маршрута:
1. С метрикой 1 и проверкой check-gateway через шлюз основного провайдера
2. С метрикой 2 через шлюз резервного провайдера
???
Как у вас реализована отказоустойчивость active/backup при MultiWAN?
Может это netwatch, скрипты, рекурсия (при таких вариантах проверяется не только шлюз) ?
Я бы порекомендовал рекурсию.

https://temofeev.ru/info/artic... -routeros/
Сначала реализуете общую отказоустойчивость по wan.

Далее 2 часть
Конкретно для случая: основной gre, резервный l2tp (пока оба без ipsec)
в mangle output делаете правило:
Помечаете l2tp (protocol udp dst-port 1701) на dst-address 1.2.3.4 (это адрес удаленного офиса) меткой маршрута l2tp_through_backup_isp.
И добавляете маршрут до 1.2.3.4/32 через шлюз резервного провайдера 2.2.2.1 с routing-mark l2tp_through_backup_isp

Будет что-то вроде того:
Код
/ip firewall mangle
Add action=mark-routing chain=output dst-address=1.2.3.4 protocol=udp dst-port=1701 new-routing-mark=l2tp_through_backup_isp
/ip route
Add dst-address=1.2.3.4/32 gateway=2.2.2.1 routing-mark=l2tp_through_backup_isp
После этого у вас должно подняться два туннеля. Первый GRE через основного провайдера, второй L2TP через резервного

3 часть уже реализация маршрутизации между локальной и удаленной сетью
0
Эксперт по компьютерным сетям
4299 / 1967 / 412
Регистрация: 17.10.2015
Сообщений: 8,419
14.11.2019, 10:25 10
Цитата Сообщение от insect_87 Посмотреть сообщение
3 часть уже реализация маршрутизации между локальной и удаленной сетью
которую можно реализовать посредством поднятия OSPF на микротах. Все само пропишется, не нужно ломать голову с маршрутами. OSPF для этого и придумали...
GTAlex, а чем не понраву описанный мною вариант?
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
14.11.2019, 10:58 11
Все само пропишется
Ну как минимум networks в ospf и cost в ospf - interfaces прописать нужно будет
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 11:11  [ТС] 12
я пока напишу как у меня сделано - далее буду переваривать Ваше сообщение и соответственно пробовать реализовать

Офис [192.168.11.0/24] 93.93.93.154/29
Склад [192.168.12.0/24] 19.19.19.175/25 + Yota Center (dhcp client gw 10.0.0.1)

п.1 - куски моей конфигурации ниже
п.2 - идея вроде понятна - я тоже самое пробую сделать только через дефолтный маршрут с маркировкой rm-Yota
(кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера)

у меня такое правило выгрузилось для этого
Код
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes
дефолтные маршруты с маркировкой и разными таблицами маршрутизации я настраивал я по статье на хабре MikroTik. Правильный dst nat при использовании 2-х и более провайдеров

соответственно фаервол
Код
/ip firewall mangle> print
add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes
последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал

и маршруты

Код
/ip route export
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota
add distance=1 gateway=19.19.19.129
add check-gateway=ping distance=2 gateway=8.8.8.8
add check-gateway=ping distance=3 gateway=8.8.4.4
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
add comment="Office Avantel" distance=1 dst-address=192.168.11.0/24 gateway=192.168.11.146 pref-src=192.168.12.46
Код
/ip address
add address=192.168.12.1/24 interface=bridge12 network=192.168.12.0
add address=19.19.19.175/25 interface=Avantel network=19.19.19.128
add address=192.168.12.46 interface=gre-Office network=192.168.11.146

фактически, то о чём Вы пишите у меня реализовано, но видимо криво раз не пашет

Код
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota
Добавлено через 12 минут
Цитата Сообщение от romsan Посмотреть сообщение
GTAlex, а чем не понраву описанный мною вариант?
ospf - это будет следующий этап - ещё не разбирался с этой штукой
пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап
ну а пока занимаюсь настройкой резервного не хочу "дёргать" основной канал - на нём работают
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
14.11.2019, 11:44 13
у меня такое правило выгрузилось для этого
Оно не работает
(кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера
Нет, не для примера.
Это правило пометит весь чистый l2tp трафик, который генерит сам роутер на адрес назначения офиса.
И роут я вам нужный написал

последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал
Да, не то. Меняйте по аналогии с моим.
Это оставляем и немного изменяем:
Код
add check-gateway=ping distance=1 gateway=8.8.8.8  target-scope=10 scope=20
add check-gateway=ping distance=2 gateway=8.8.4.4  target-scope=10 scope=20
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
Это выключаем/деактивируем
Код
add distance=1 gateway=19.19.19.129
Добавьте маршрут до белого адреса офиса по аналогии с моим с routing-mark.


ospf - это будет следующий этап - ещё не разбирался с этой штукой
пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап
Рекурсию поправьте, уберите маршрут ( add distance=1 gateway=19.19.19.129), исправьте последнее правило в мангл и допишите маршрут.

Как только оба туннеля будут в up (gre должен строиться через основного прова, l2tp через резервного),
переходим к динамической маршрутизации
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 12:07  [ТС] 14
Цитата Сообщение от insect_87 Посмотреть сообщение
Помечаете l2tp (protocol udp dst-port 1701)
Ёлы палы - главного то я и не приметил, хотя Вы всё написали !!! пипец ... ща заменю
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
14.11.2019, 12:16 15
Не указывайте там out-interface l2tp, я правило вам написал без лишнего

+поправьте рекурсию, уберите лишнее
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 12:17  [ТС] 16
да туннели то всегда up - только l2tp по основному шпарит

я так понимаю - если всё пойдёт по задуманному - то на стороне l2tp сервера во входящем l2tp соединении CallerID должен быть какой то yota динамический (не 19.19.19.129)
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
14.11.2019, 12:19 17
Ну посмотрите.
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 12:21  [ТС] 18
Код
/ip route
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel scope=20
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota scope=20
add check-gateway=ping distance=1 gateway=8.8.8.8 scope=10
add check-gateway=ping distance=2 gateway=8.8.4.4 scope=10
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
/ip route rule
add src-address=19.19.19.175/32 table=rm-Avantel
Код
/ip firewall mangle
add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no
add action=mark-routing chain=output dst-address=93.93.93.154 dst-port=1701 new-routing-mark=rm-Yota passthrough=yes protocol=udp
привёл в соответствие с Вашими указаниями
сбросил l2tp соединение
поднялось с caller ID с белым айпишником - т.е. пошло не по резервному
0
Эксперт по компьютерным сетям
10396 / 6626 / 1741
Регистрация: 25.12.2012
Сообщений: 28,102
14.11.2019, 12:35 19
Код
/ip route rule
add src-address=19.19.19.175/32 table=rm-Avantel
Это зачем?
Выключите
поднялось с caller ID с белым айпишником
С каким именно?
Avantel?
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 12:41  [ТС] 20
Выключил.
Да - с Авантеловским 19.19.19.175

Добавлено через 55 секунд
в сейф моде вырубил на складе Авантел - l2tp по йоте так же не поднялся
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
14.11.2019, 12:41
Помогаю со студенческими работами здесь

Доступ к компьютерам в другой сети через PPTP
Всем привет Есть два роутера на TOMATOUSB SHIBBY На одном настроен PPTP сервер на другом Клиент...

Проброс портов для подключения по PPTP через 881
Имеется циска 881, на ней интерфейс влан 101 с белым ипом. За 881 стоит сервак 10.10.10.2, на...

Настройка роутера через PPTP
Привет парни, такая проблема с настройкой роутера Tenda n630 v2: У меня провайдер KABiNET, который...

PPTP доступ через роутер
Уважаемые пользователи есть сервер 2008 и есть роутер dir100 весь инеет через него, в настройках...

Не коннектит к VPN через PPTP
Здравствуйте Выхожу в интернет через провайдерскую vpn. Поставил Ubuntu - не коннектит - либо...

Интернет через VPN (PPTP)
Вроде делаю все согласно руководств. Но при выборе подключения как показано руководстве пароль не...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru