Маршрутизация по политикам — L2TP и несколько WAN-соединений

ИЗМЕНЕНИЕ: Объединил с предыдущим сообщением.

+1 ВСЁ ещё жду решения. Не уверен, есть ли смысл открывать новый тикет, но проблема сохраняется в RouterOS 6.12.

Могу подтвердить: баг в L2TP-сервере. Он отправляет пакеты без указания IP-адреса отправителя. Пакеты потом маршрутизируются и оказываются на исходящем интерфейсе… и вот ЗДЕСЬ присваивается исходный IP. То, что вы видите в сети — это IP исходящего интерфейса. Конечно, это неправильно. Внешний L2TP-клиент может отправить запрос на IP-адрес назначения, но получить ответы с другого IP. Из-за этого L2TP несовместим с наличием нескольких WAN-подключений. Это фактически нарушение RFC1122, пункт 3.3.4.2 Требования к мультихомингу: «(1) Если дейтаграмма отправляется в ответ на полученную дейтаграмму, исходный адрес в ответе ДОЛЖЕН быть адресом конкретного назначения запроса.»

Я долго переписывался с поддержкой MikroTik (Янис, тикет 2010030966000498, для версии V4.6): сначала они утверждали, что для поддержки двух WAN-соединений нужна политическая маршрутизация, но на самом деле казалось, что они даже толком не читали мои письма и доказательства. В итоге предположили, что эта «функция» может заработать в бета-версии 5.0… В большинстве случаев баг — это отсутствие вызова bind() на UDP-сокете сервера для установки IP отправителя, это не что-то сложное или редкое (особенно на роутере).

Сейчас у меня настроен L2TP на двух MikroTik-роутерах, по одному на каждом WAN. Мне приходится постоянно обходить эту проблему, она задаёт структуру сети и в других местах тоже. Собственно… я все равно пока не могу полноценно использовать оба WAN-подключения, потому что BGP в MikroTik не справляется с полной таблицей маршрутизации… Это ещё один баг, хотя по форуму складывается впечатление, что проблемы нет. «Это работает» — но, скорее всего, только если арендованные линии медленные. В моём случае с двумя 100 Мбит/с WAN-подключениями включение BGP загружает роутер (x86 Xeon, много оперативной памяти) — WinBox постоянно отключается. Только если ограничить BGP-трафик до 2 Мбит/с, роутер остаётся отзывчивым. Похоже, проблема проявляется и при количестве префиксов свыше 70 000. SNMP нет, NAT нет.

У меня та же проблема. Похоже, что в Mikrotik 5.4 она так и не исправлена. А прошло уже целый год с момента обсуждения этой темы… Что тут скажешь… Mikrotik, возможно, одна из лучших операционных систем для маршрутизаторов, но у неё просто дурацкие баги, и из них даже патч не можешь получить… обидно.

Насколько я понимаю, это не баг в L2TP, а проблема с тем, как у вас прописаны правила. Проверьте, попробовав подключиться по SSH, PPTP или WinBox к MikroTik через любой из WAN IP. Скорее всего, одна из IP-адресов работает, а другая — нет. Когда пакет собирается уйти, даже если он знает, что нужно использовать IP от ISP2, если правила маршрутизации говорят ему выходить через ISP1, он пойдет именно туда. Если посмотреть на часть диаграммы Packet Flow на уровне Layer3, то увидите, что Local Process OUT идет сразу в Routing Decision, минуя prerouting, поэтому все ваши mangle-правила и пометки пакетов на него не влияют. Ни в одном из ваших правил не сказано, что исходящий IP ISP1 всегда должен выходить через ISP1, а исходящий IP ISP2 — через ISP2. Я успешно использую двойной WAN с L2TP на обоих интерфейсах начиная с версии 5.4 (примерно с тех пор, как начал работать с PCC). Свой конфиг я выкладывал в этой теме: http://forum.mikrotik.com/t/l2tp-tunnels-with-multiple-internet-connections-issues/49379/1 Надеюсь, это поможет.

Это известная проблема с L2TP. Тикет#2013020866000414. «Мы в курсе этой проблемы с L2TP. Сообщили разработчикам, и её исправят в будущем в соответствии с приоритетами.» Как исправить:  
/ip firewall nat  
add action=dst-nat chain=dstnat comment="Исправление бага с исходящим адресом у L2TP" dst-address="Адрес, к которому должен подключаться ваш L2TP-клиент" dst-port=1701 protocol=udp to-addresses="исходящий адрес, с которого L2TP отправляет неверные пакеты"