PPTP через запасной канал

@GTAlex · Регистрация: 19.02.2013

Студворк — интернет-сервис помощи студентам

Есть два микротика - на одном локалка + один WAN интерфейс - RJ45 белый статичный IP
На втором тоже локалки + два WAN - основной RJ45 белый статичный IP, резервный - RJ45 через Yota Center (внешний IP плавающий) - настроено автоматическое переключение дефолтного маршрута в случае падения главного.

По основным каналам (по белым айпишникам) поднят GRE туннель через который я и подружил обе локалки маршрутами.
Но как только основной на втором падает, вся "дружба" между микротиками пропадает т.к. падает GRE тоннель и достучаться до него я уже не могу.

Соответственно думаю, что нужно поднять интерфейс который бы работал только через YOTA на втором микротике - и тут у меня затуп - не знаю как тот же PPTP Client заставить коннектиться именно через YOTA

@insect_87 · 13.11.2019, 13:37

Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты.

Второй момент - маршрутизация между локальными сетями - тут вариантов несколько.
Вы gre-интерфесы и интерфейсы шлюзов локальных сетей в ospf не зарулили?

@GTAlex · 13.11.2019, 13:54 **[ТС]**

Спасибо!

Первое вроде понятно - буду пробовать реализовать.
По второму - в ospf не заруливал т.к. не знаю что это такое, сейчас буду гуглить на эту тему

Добавлено через 2 минуты
я вообще подумал - может ну его этот gre вообще с его привязками по белым айпишникам?
оставить только pptp(l2tp) в чистом виде без каких либо меток
если рухнет основной канал, переключалка дефолтного маршрута работает - по идее pptp(l2tp) должен автоматически подняться по резервному каналу ...

@insect_87 · 13.11.2019, 14:43

Ну тут смотрите сами, можно так попробовать.
Еще, в плане безопасности, лучше используйте L2TP/IPSEC или SSTP.
GRE тоже используйте через IPSEC

@romsan · 13.11.2019, 16:04

Сообщение от GTAlex

может ну его этот gre вообще с его привязками по белым айпишникам?

я юзаю IPIP. Через ОПСОСа настроен запасной рртр. В планировщике каждые 10 минут, выполняется проверка доступности основного (с белым IP) канала - (NetWatch). Если он пропадает, то выполняется скрипт, который вырубает IPIP-тунель, и включает pptp-клиента. Как только появляется тырнет на основном канале, запускается др скрипт, делающий всё наоборот - гасит рртр и включает IPIP. На микротах поднят OSPF, т.е. необходимые маршруты сами активируются.

@NoNaMe · 13.11.2019, 16:26

Использую такой-же вариант как у romsan.
Где много трафика ходит использую IPIP.
Где нужна защита канала, PPTP/L2TP/SSTP.

@insect_87 · 13.11.2019, 16:58

Если через туннель ходит только юникастовый ipv4 трафик, то можно использовать ipip.
GRE позволяет инкапсулировать еще и мультикаст трафик.

я на сетевом уровне использую gre over ipsec, в железках по-мощнее: cisco, huawei - dmvpn, dsvpn (p2mp gre over ipsec и nhrp).
Если есть проблемы с наличием белого адреса, то l2tp+ipsec или sstp

@GTAlex · 14.11.2019, 06:37 **[ТС]**

странно, вариант с l2tp не заработал - только в save моде вырубаю основной канал - l2tp пропадает и не восстанавливается по резервному, пока save mode назад не откатит его

Добавлено через 55 секунд
однозначно нужно l2tp нужно по резервному пускать

Добавлено через 3 минуты
правда тут у меня другая проблема - но это на отдельный топик

Добавлено через 1 час 55 минут

Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты.

у меня есть дефолтный маршрут с routing-mark "rm-Yota" (через йоту)
я посмотрел в закладке Route List вообще можно

соответственно, если я в Rules сделаю правило l2tp lookup "rm-Yota"
то по идее всё что по этому интерфейсу должно работать с таблицей маршрутизации "rm-Yota" и по дефолтному маршруту - через yota? даже без каких либо пометок в mangle ?

но так не пашет

Добавлено через 7 минут
как только вырубаю основной канал, пинги до айпишника l2tp второго микротика пропадают

@insect_87 · 14.11.2019, 10:03

Стоп. Давайте по порядку.
В main таблице у вас два дефолтных маршрута:
1. С метрикой 1 и проверкой check-gateway через шлюз основного провайдера
2. С метрикой 2 через шлюз резервного провайдера
???
Как у вас реализована отказоустойчивость active/backup при MultiWAN?
Может это netwatch, скрипты, рекурсия (при таких вариантах проверяется не только шлюз) ?
Я бы порекомендовал рекурсию.

https://temofeev.ru/info/artic... -routeros/
Сначала реализуете общую отказоустойчивость по wan.

Далее 2 часть
Конкретно для случая: основной gre, резервный l2tp (пока оба без ipsec)
в mangle output делаете правило:
Помечаете l2tp (protocol udp dst-port 1701) на dst-address 1.2.3.4 (это адрес удаленного офиса) меткой маршрута l2tp_through_backup_isp.
И добавляете маршрут до 1.2.3.4/32 через шлюз резервного провайдера 2.2.2.1 с routing-mark l2tp_through_backup_isp

Будет что-то вроде того:

Код

/ip firewall mangle
Add action=mark-routing chain=output dst-address=1.2.3.4 protocol=udp dst-port=1701 new-routing-mark=l2tp_through_backup_isp
/ip route
Add dst-address=1.2.3.4/32 gateway=2.2.2.1 routing-mark=l2tp_through_backup_isp

После этого у вас должно подняться два туннеля. Первый GRE через основного провайдера, второй L2TP через резервного

3 часть уже реализация маршрутизации между локальной и удаленной сетью

@romsan · 14.11.2019, 10:25

Сообщение от insect_87

3 часть уже реализация маршрутизации между локальной и удаленной сетью

которую можно реализовать посредством поднятия OSPF на микротах. Все само пропишется, не нужно ломать голову с маршрутами. OSPF для этого и придумали...
GTAlex, а чем не понраву описанный мною вариант?

@insect_87 · 14.11.2019, 10:58

Все само пропишется

Ну как минимум networks в ospf и cost в ospf - interfaces прописать нужно будет

@GTAlex · 14.11.2019, 11:11 **[ТС]**

я пока напишу как у меня сделано - далее буду переваривать Ваше сообщение и соответственно пробовать реализовать

Офис [192.168.11.0/24] 93.93.93.154/29
Склад [192.168.12.0/24] 19.19.19.175/25 + Yota Center (dhcp client gw 10.0.0.1)

п.1 - куски моей конфигурации ниже
п.2 - идея вроде понятна - я тоже самое пробую сделать только через дефолтный маршрут с маркировкой rm-Yota
(кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера)

у меня такое правило выгрузилось для этого

Код

add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes

дефолтные маршруты с маркировкой и разными таблицами маршрутизации я настраивал я по статье на хабре MikroTik. Правильный dst nat при использовании 2-х и более провайдеров

соответственно фаервол

Код

/ip firewall mangle> print
add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no
add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes

последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал

и маршруты

Код

/ip route export
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota
add distance=1 gateway=19.19.19.129
add check-gateway=ping distance=2 gateway=8.8.8.8
add check-gateway=ping distance=3 gateway=8.8.4.4
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
add comment="Office Avantel" distance=1 dst-address=192.168.11.0/24 gateway=192.168.11.146 pref-src=192.168.12.46

Код

/ip address
add address=192.168.12.1/24 interface=bridge12 network=192.168.12.0
add address=19.19.19.175/25 interface=Avantel network=19.19.19.128
add address=192.168.12.46 interface=gre-Office network=192.168.11.146

фактически, то о чём Вы пишите у меня реализовано, но видимо криво раз не пашет

Код

add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota

Добавлено через 12 минут

Сообщение от romsan

GTAlex, а чем не понраву описанный мною вариант?

ospf - это будет следующий этап - ещё не разбирался с этой штукой
пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап
ну а пока занимаюсь настройкой резервного не хочу "дёргать" основной канал - на нём работают

@insect_87 · 14.11.2019, 11:44

у меня такое правило выгрузилось для этого

Оно не работает

(кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера

Нет, не для примера.
Это правило пометит весь чистый l2tp трафик, который генерит сам роутер на адрес назначения офиса.
И роут я вам нужный написал

последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал

Да, не то. Меняйте по аналогии с моим.
Это оставляем и немного изменяем:

Код

add check-gateway=ping distance=1 gateway=8.8.8.8  target-scope=10 scope=20
add check-gateway=ping distance=2 gateway=8.8.4.4  target-scope=10 scope=20
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10

Это выключаем/деактивируем

Код

add distance=1 gateway=19.19.19.129

Добавьте маршрут до белого адреса офиса по аналогии с моим с routing-mark.

ospf - это будет следующий этап - ещё не разбирался с этой штукой
пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап

Рекурсию поправьте, уберите маршрут ( add distance=1 gateway=19.19.19.129), исправьте последнее правило в мангл и допишите маршрут.

Как только оба туннеля будут в up (gre должен строиться через основного прова, l2tp через резервного),
переходим к динамической маршрутизации

@GTAlex · 14.11.2019, 12:07 **[ТС]**

Сообщение от insect_87

Помечаете l2tp (protocol udp dst-port 1701)

Ёлы палы - главного то я и не приметил, хотя Вы всё написали !!! пипец ... ща заменю

@insect_87 · 14.11.2019, 12:16

Не указывайте там out-interface l2tp, я правило вам написал без лишнего

+поправьте рекурсию, уберите лишнее

@GTAlex · 14.11.2019, 12:17 **[ТС]**

да туннели то всегда up - только l2tp по основному шпарит

я так понимаю - если всё пойдёт по задуманному - то на стороне l2tp сервера во входящем l2tp соединении CallerID должен быть какой то yota динамический (не 19.19.19.129)

@insect_87 · 14.11.2019, 12:19

Ну посмотрите.

@GTAlex · 14.11.2019, 12:21 **[ТС]**

Код

/ip route
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel scope=20
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota scope=20
add check-gateway=ping distance=1 gateway=8.8.8.8 scope=10
add check-gateway=ping distance=2 gateway=8.8.4.4 scope=10
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
/ip route rule
add src-address=19.19.19.175/32 table=rm-Avantel

Код

/ip firewall mangle
add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no
add action=mark-routing chain=output dst-address=93.93.93.154 dst-port=1701 new-routing-mark=rm-Yota passthrough=yes protocol=udp

привёл в соответствие с Вашими указаниями
сбросил l2tp соединение
поднялось с caller ID с белым айпишником - т.е. пошло не по резервному

@insect_87 · 14.11.2019, 12:35

Код

/ip route rule
add src-address=19.19.19.175/32 table=rm-Avantel

Это зачем?
Выключите

поднялось с caller ID с белым айпишником

С каким именно?
Avantel?

@GTAlex · 14.11.2019, 12:41 **[ТС]**

Выключил.
Да - с Авантеловским 19.19.19.175

Добавлено через 55 секунд
в сейф моде вырубил на складе Авантел - l2tp по йоте так же не поднялся

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
		1
	PPTP через запасной канал 13.11.2019, 13:19. Показов 7388. Ответов 47 Метки нет (Все метки) Есть два микротика - на одном локалка + один WAN интерфейс - RJ45 белый статичный IP На втором тоже локалки + два WAN - основной RJ45 белый статичный IP, резервный - RJ45 через Yota Center (внешний IP плавающий) - настроено автоматическое переключение дефолтного маршрута в случае падения главного. По основным каналам (по белым айпишникам) поднят GRE туннель через который я и подружил обе локалки маршрутами. Но как только основной на втором падает, вся "дружба" между микротиками пропадает т.к. падает GRE тоннель и достучаться до него я уже не могу. Соответственно думаю, что нужно поднять интерфейс который бы работал только через YOTA на втором микротике - и тут у меня затуп - не знаю как тот же PPTP Client заставить коннектиться именно через YOTA 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	13.11.2019, 13:37	2
	Сообщение было отмечено GTAlex как решение Решение Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты. Второй момент - маршрутизация между локальными сетями - тут вариантов несколько. Вы gre-интерфесы и интерфейсы шлюзов локальных сетей в ospf не зарулили? 2

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
	13.11.2019, 13:54 [ТС]	3
	Спасибо! Первое вроде понятно - буду пробовать реализовать. По второму - в ospf не заруливал т.к. не знаю что это такое, сейчас буду гуглить на эту тему Добавлено через 2 минуты я вообще подумал - может ну его этот gre вообще с его привязками по белым айпишникам? оставить только pptp(l2tp) в чистом виде без каких либо меток если рухнет основной канал, переключалка дефолтного маршрута работает - по идее pptp(l2tp) должен автоматически подняться по резервному каналу ... 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	13.11.2019, 14:43	4
	Ну тут смотрите сами, можно так попробовать. Еще, в плане безопасности, лучше используйте L2TP/IPSEC или SSTP. GRE тоже используйте через IPSEC 0

@romsan 4697 / 2079 / 443 Регистрация: 17.10.2015 Сообщений: 8,935
	13.11.2019, 16:04	5
	Сообщение от GTAlex может ну его этот gre вообще с его привязками по белым айпишникам? я юзаю IPIP. Через ОПСОСа настроен запасной рртр. В планировщике каждые 10 минут, выполняется проверка доступности основного (с белым IP) канала - (NetWatch). Если он пропадает, то выполняется скрипт, который вырубает IPIP-тунель, и включает pptp-клиента. Как только появляется тырнет на основном канале, запускается др скрипт, делающий всё наоборот - гасит рртр и включает IPIP. На микротах поднят OSPF, т.е. необходимые маршруты сами активируются. 0

@NoNaMe Модератор 1538 / 624 / 125 Регистрация: 10.06.2009 Сообщений: 2,427
	13.11.2019, 16:26	6
	Использую такой-же вариант как у romsan. Где много трафика ходит использую IPIP. Где нужна защита канала, PPTP/L2TP/SSTP. 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	13.11.2019, 16:58	7
	Если через туннель ходит только юникастовый ipv4 трафик, то можно использовать ipip. GRE позволяет инкапсулировать еще и мультикаст трафик. я на сетевом уровне использую gre over ipsec, в железках по-мощнее: cisco, huawei - dmvpn, dsvpn (p2mp gre over ipsec и nhrp). Если есть проблемы с наличием белого адреса, то l2tp+ipsec или sstp 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
	14.11.2019, 06:37 [ТС]	8
	странно, вариант с l2tp не заработал - только в save моде вырубаю основной канал - l2tp пропадает и не восстанавливается по резервному, пока save mode назад не откатит его Добавлено через 55 секунд однозначно нужно l2tp нужно по резервному пускать Добавлено через 3 минуты правда тут у меня другая проблема - но это на отдельный топик Добавлено через 1 час 55 минут Пометить в mangle output pptp-трафик, а именно соединение, на втором микротике меткой маршрута, а затем в отдельной таблице маршрутизации, используя метку, создать маршрут до белого адреса первого микротика через шлюз йоты. у меня есть дефолтный маршрут с routing-mark "rm-Yota" (через йоту) я посмотрел в закладке Route List вообще можно соответственно, если я в Rules сделаю правило l2tp lookup "rm-Yota" то по идее всё что по этому интерфейсу должно работать с таблицей маршрутизации "rm-Yota" и по дефолтному маршруту - через yota? даже без каких либо пометок в mangle ? но так не пашет Добавлено через 7 минут как только вырубаю основной канал, пинги до айпишника l2tp второго микротика пропадают 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	14.11.2019, 10:03	9
	Стоп. Давайте по порядку. В main таблице у вас два дефолтных маршрута: 1. С метрикой 1 и проверкой check-gateway через шлюз основного провайдера 2. С метрикой 2 через шлюз резервного провайдера ??? Как у вас реализована отказоустойчивость active/backup при MultiWAN? Может это netwatch, скрипты, рекурсия (при таких вариантах проверяется не только шлюз) ? Я бы порекомендовал рекурсию. https://temofeev.ru/info/artic... -routeros/ Сначала реализуете общую отказоустойчивость по wan. Далее 2 часть Конкретно для случая: основной gre, резервный l2tp (пока оба без ipsec) в mangle output делаете правило: Помечаете l2tp (protocol udp dst-port 1701) на dst-address 1.2.3.4 (это адрес удаленного офиса) меткой маршрута l2tp_through_backup_isp. И добавляете маршрут до 1.2.3.4/32 через шлюз резервного провайдера 2.2.2.1 с routing-mark l2tp_through_backup_isp Будет что-то вроде того: Код /ip firewall mangle Add action=mark-routing chain=output dst-address=1.2.3.4 protocol=udp dst-port=1701 new-routing-mark=l2tp_through_backup_isp /ip route Add dst-address=1.2.3.4/32 gateway=2.2.2.1 routing-mark=l2tp_through_backup_isp После этого у вас должно подняться два туннеля. Первый GRE через основного провайдера, второй L2TP через резервного 3 часть уже реализация маршрутизации между локальной и удаленной сетью 0

@romsan 4697 / 2079 / 443 Регистрация: 17.10.2015 Сообщений: 8,935
	14.11.2019, 10:25	10
	Сообщение от insect_87 3 часть уже реализация маршрутизации между локальной и удаленной сетью которую можно реализовать посредством поднятия OSPF на микротах. Все само пропишется, не нужно ломать голову с маршрутами. OSPF для этого и придумали... GTAlex, а чем не понраву описанный мною вариант? 0

Опции темы

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	14.11.2019, 10:58	11
	Все само пропишется Ну как минимум networks в ospf и cost в ospf - interfaces прописать нужно будет 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
	14.11.2019, 11:11 [ТС]	12
	я пока напишу как у меня сделано - далее буду переваривать Ваше сообщение и соответственно пробовать реализовать Офис [192.168.11.0/24] 93.93.93.154/29 Склад [192.168.12.0/24] 19.19.19.175/25 + Yota Center (dhcp client gw 10.0.0.1) п.1 - куски моей конфигурации ниже п.2 - идея вроде понятна - я тоже самое пробую сделать только через дефолтный маршрут с маркировкой rm-Yota (кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера) у меня такое правило выгрузилось для этого Код add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes дефолтные маршруты с маркировкой и разными таблицами маршрутизации я настраивал я по статье на хабре MikroTik. Правильный dst nat при использовании 2-х и более провайдеров соответственно фаервол Код /ip firewall mangle> print add action=mark-connection chain=input in-interface=Avantel new-connection-mark=conn-Avantel passthrough=yes add action=mark-routing chain=output connection-mark=conn-Avantel new-routing-mark=rm-Avantel passthrough=no add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota passthrough=no add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал и маршруты Код /ip route export add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota add distance=1 gateway=19.19.19.129 add check-gateway=ping distance=2 gateway=8.8.8.8 add check-gateway=ping distance=3 gateway=8.8.4.4 add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10 add comment="Office Avantel" distance=1 dst-address=192.168.11.0/24 gateway=192.168.11.146 pref-src=192.168.12.46 Код /ip address add address=192.168.12.1/24 interface=bridge12 network=192.168.12.0 add address=19.19.19.175/25 interface=Avantel network=19.19.19.128 add address=192.168.12.46 interface=gre-Office network=192.168.11.146 фактически, то о чём Вы пишите у меня реализовано, но видимо криво раз не пашет Код add action=mark-routing chain=output new-routing-mark=rm-Yota out-interface=l2tp-nskSklad-office passthrough=yes add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota Добавлено через 12 минут Сообщение от romsan GTAlex, а чем не понраву описанный мною вариант? ospf - это будет следующий этап - ещё не разбирался с этой штукой пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап ну а пока занимаюсь настройкой резервного не хочу "дёргать" основной канал - на нём работают 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	14.11.2019, 11:44	13
	у меня такое правило выгрузилось для этого Оно не работает (кстати в Вашем примере не вижу интерфейс для правила firewall mangle - так будет весь трафик до 1.2.3.4 маркироваться - по обоим каналам, я так понял это просто для примера Нет, не для примера. Это правило пометит весь чистый l2tp трафик, который генерит сам роутер на адрес назначения офиса. И роут я вам нужный написал последнее правило - это я пытался l2tp-nskSklad-office пометить чтобы l2tp-nskSklad-office пошел по дефолтному правилу с маркировкой rm-Yota видимо не то я делал Да, не то. Меняйте по аналогии с моим. Это оставляем и немного изменяем: Код add check-gateway=ping distance=1 gateway=8.8.8.8 target-scope=10 scope=20 add check-gateway=ping distance=2 gateway=8.8.4.4 target-scope=10 scope=20 add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10 Это выключаем/деактивируем Код add distance=1 gateway=19.19.19.129 Добавьте маршрут до белого адреса офиса по аналогии с моим с routing-mark. ospf - это будет следующий этап - ещё не разбирался с этой штукой пока хочу на понятных мне технологиях настроить доступ к микротику на складе через резервный канал, чтобы в случае падения основного канала я мог вручную перенастроить на нём маршруты, автоматизация - следующий этап Рекурсию поправьте, уберите маршрут ( add distance=1 gateway=19.19.19.129), исправьте последнее правило в мангл и допишите маршрут. Как только оба туннеля будут в up (gre должен строиться через основного прова, l2tp через резервного), переходим к динамической маршрутизации 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
	14.11.2019, 12:07 [ТС]	14
	Сообщение от insect_87 Помечаете l2tp (protocol udp dst-port 1701) Ёлы палы - главного то я и не приметил, хотя Вы всё написали !!! пипец ... ща заменю 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	14.11.2019, 12:16	15
	Не указывайте там out-interface l2tp, я правило вам написал без лишнего +поправьте рекурсию, уберите лишнее 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
	14.11.2019, 12:17 [ТС]	16
	да туннели то всегда up - только l2tp по основному шпарит я так понимаю - если всё пойдёт по задуманному - то на стороне l2tp сервера во входящем l2tp соединении CallerID должен быть какой то yota динамический (не 19.19.19.129) 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	14.11.2019, 12:19	17
	Ну посмотрите. 0

@insect_87 Модератор 11410 / 6980 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	14.11.2019, 12:35	19
	Код /ip route rule add src-address=19.19.19.175/32 table=rm-Avantel Это зачем? Выключите поднялось с caller ID с белым айпишником С каким именно? Avantel? 0

@GTAlex 45 / 6 / 1 Регистрация: 19.02.2013 Сообщений: 154
	14.11.2019, 12:41 [ТС]	20
	Выключил. Да - с Авантеловским 19.19.19.175 Добавлено через 55 секунд в сейф моде вырубил на складе Авантел - l2tp по йоте так же не поднялся 0

PPTP через запасной канал

Решение