+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Много WAN IP Sec

Много WAN IP Sec, RouterOS

royalpublishing

Guest

02.12.2013 23:53:00

Router1 - WAN1 1.1.1.1 WAN2 2.2.2.2 LAN 10.1.1.0/24 Router2 - WAN1 3.3.3.3 LAN 10.1.10.0/24

У меня настроены IPsec VPN туннели site-to-site между 6 удаленных офисов, и всё отлично работает. Сейчас пытаюсь добавить резервирование, добавляю по два WAN-интерфейса в каждом офисе, но никак не могу понять, как заставить IPsec конфигурацию работать. Когда пытаюсь добавить дополнительную IPsec политику на Router1, используя ту же исходную сеть 10.1.1.0/24 и ту же конечную сеть 10.1.10.0/24, но используя адрес SA Src. WAN2 и адрес SA Router2 в качестве назначения, одна из записей становится красной и перестает работать, будто это запрещено. В общем, я пытаюсь создать две IPsec политики для одной и той же исходной и конечной сети, но с разными адресами SA Src. Есть какие-нибудь идеи, что я делаю не так или как это нужно настроить? Заранее спасибо.

royalpublishing

Guest

11.12.2013 14:50:00

Спасибо, что подсказали верное направление. После небольшого исследования и некоторых размышлений над этой проблемой, я думаю, чтобы иметь избыточные туннели и одновременно выполнять балансировку нагрузки, необходимо сделать следующее (не обязательно в таком порядке):

* Создать IPsec transport-туннель для каждого из ваших WAN-соединений к каждому из ваших сайтов.
* Создать GRE-туннель для каждого из ваших WAN-соединений к каждому из ваших сайтов.
* Добавить вторичные Point-to-Point /30 IP-адреса для каждого WAN-соединения на интерфейсе вашей локальной сети на каждом сайте. Так, для двух сайтов с двумя интернет-соединениями у вас будет в общей сложности 4 /30 для создания P2P для каждого возможного маршрута.
* Добавить правила обхода NAT для каждого P2P-соединения /30 и правила маскирования для WAN-интерфейсов.
* Использовать Policy Routing для маршрутизации трафика к/из вашего вторичного WAN-шлюза по умолчанию.
* Создать правила Mangle для маркировки трафика, чтобы гарантировать, что оно использует тот же путь для возврата в исходную точку.
* Создать маршруты для Remote Site /30 IP-адреса через gre-tunnel# и Policy Routing.
* Создать правила Mangle, которые используют Nth для балансировки нагрузки между WAN-линиями.
* Настроить OSPF для распространения маршрутов.

Я пока не довел это до конца, но сообщу всем, удалось ли мне.

mrz Guest	#3 0 03.12.2013 08:43:00 ROS v6.7 теперь позволяет указывать исходный адрес в настройках пира.

leonset

Guest

03.12.2013 08:48:00

Я пробовал это в свободное время, но не смог заставить работать как надо. Один из вариантов — разделить IPSec-политики, чтобы половина клиентов шла через первый WAN, а другая половина использовала второй WAN. Редактирую: с версией v5.x

JJCinAZ Guest	#5 0 03.12.2013 15:05:00 Не используйте IPSec туннели, лучше используйте GRE туннели с режимом транспорта IPSec. Так будет гораздо проще организовать резервирование в вашей конфигурации.

i4jordan

Guest

11.12.2013 15:09:00

IPsec + GRE – отличная штука для создания продвинутых маршрутизируемых частных сетей через VPN. Но я заметил, что при таком сочетании есть ощутимая потеря производительности. Если использовать туннели IPIP вместо GRE, то будет быстрее, но это создает проблемы с MTU. Коротко говоря: IPsec + GRE, неплохо для VPN-туннелей, но медленно, без проблем с MTU и особых настроек. IPsec + IPIP тоже неплохо для VPN-туннелей и быстрее, чем GRE, но IPIP требует некоторой тонкой настройки MTU. Просто мои мысли по этому вопросу. IPsec + GRE/IPIP действительно намного более "гибкий", чем стандартные IPsec-туннели. Особенно в сочетании с OSPF и другими функциями динамической маршрутизации.

royalpublishing Guest	#7 0 11.12.2013 15:15:00 Привет, спасибо за ответ. Только в моих тестах уже видно, что есть ощутимые потери производительности с GRE туннелями. Мои пинги уже увеличиваются на 30+ мс. Что посоветуете по настройкам MTU?

royalpublishing Guest	#8 0 11.12.2013 18:12:00 Информацию о настройке MTU и MSS для IP/IP over IPsec можно найти здесь… http://forum.mikrotik.com/t/ipip-fragmentation-help/50227/1

i4jordan

Guest

11.12.2013 19:34:00

Можно "настраивать" размер MSS (MTU -/- накладные расходы протокола) с помощью правил MSS Mangle. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle Ищите базовые примеры ‘Change MSS’. С их помощью можно задать размер исходящего MSS (и, как следствие, MTU) для пакетов, проходящих через туннель ipsec + IPIP. Я всегда использую mtupath для тестирования оптимального (максимального) размера MSS, который может пройти маршрут без фрагментации. http://www.iea-software.com/products/mtupath.cfm Также можно использовать правила Mangle ‘Clear DF’ для приложений, которые отправляют флаг Do’nt Fragment вместе с сообщением. С помощью правила Mangle DF вы можете "убрать" флаг DF, и пакеты будут проходить фрагментированными, иначе пакеты будут игнорироваться. Некоторые примеры приложений, которые отправляют флаги DF и, следовательно, имеют "проблемы" с прохождением туннелей IPIP: протокол RDP (терминальный сервер), TFTP.

royalpublishing Guest	#10 0 13.12.2013 16:24:00 Я погорячился, когда говорил, что P2P /30’s нужно добавить на интерфейс LAN. На самом деле, их нужно настроить как вторичные IP-адреса на IP/IP туннелях. Все еще пытаюсь разобраться в логистике этого дела.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры