+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Резервный Ipsec для IPIP

Резервный Ipsec для IPIP, RouterOS

andrace

Guest

07.10.2015 14:13:00

Всем привет! В мануале (http://wiki.mikrotik.com/wiki/Manual:IP/IPsec) сказано, что приоритет — это классификатор порядка политики (со знаковым целым числом). Чем больше число, тем выше приоритет. Это верно, учитывая, что обычно поведение приоритета наоборот? И следующий вопрос: какое соединение имеет более высокий приоритет при маршрутизации — IPSEC или IPIP?

pe1chl

Guest

21.10.2015 16:26:00

Мне не совсем понятно, что именно вы хотите спросить и с какой проблемой столкнулись. Но позвольте объяснить: политики IPsec для туннелей работают на другом уровне сети, чем таблицы маршрутизации и относительные приоритеты маршрутов. Поэтому, когда вы задаёте политику IPsec для этих двух подсетей, этот IPsec-туннель будет использоваться вне зависимости от того, что вы сделаете с маршрутизацией. Приоритеты политик действуют только между самими IPsec-политиками, а не относительно приоритетов маршрутов.

Если вам это не нравится, настройте интерфейс IP или GRE туннеля с секретом IPsec — тогда создастся IPsec-политика только для трафика GRE между внешними адресами маршрутизаторов. После этого маршрутизируйте трафик для подсетей через этот IP или GRE туннель с помощью обычных маршрутов или протокола автоматической маршрутизации, например, BGP. Тогда вы сможете управлять тем, что куда направлять, используя обычные приоритеты маршрутов.

andrace

Guest

21.10.2015 19:56:00

Окей. Вот чего я хочу. У меня есть головной офис с двумя провайдерами (публичные IP-адреса), и у меня есть филиал с одним провайдером (кабель и публичный IP-адрес) и вторым провайдером (3G модем и ДИНАМИЧЕСКИЙ IP-адрес) в резерве. Я хочу, чтобы филиал при отсутствии подключения по основному каналу (кабель) переключался на 3G модем. Можно ли это реализовать без скриптов? Главная проблема в том, что у 3G модема динамический IP и NAT Traversal, очевидно, я не могу создать GRE, IPIP или EoIP IPSec политики. IPSec позволяет использовать динамический исходящий IP, но я не понимаю, как будет идти трафик, если одновременно работают оба провайдера (кабельный и 3G).

andrace Guest	#4 0 26.10.2015 09:24:00 Подниму тему. Помогите! Мне нужна помощь! Не просто кто-то, а именно помощь! Вы же знаете, что мне кто-то нужен. Поооомогите!

macgaiver

Guest

26.10.2015 09:40:00

Хорошая песня! Но сама тема, по крайней мере для меня, вообще не имеет смысла. Нарисуй простую схему своей сети, объясни, какого идеального результата хочешь добиться (чего ты пытаешься достичь), а потом опиши проблему. P.S. Если используешь последнюю версию, IPIP-туннели теперь могут работать с шифрованием IPSec, так что, может, просто воспользуйся этим.

andrace Guest	#6 0 26.10.2015 12:15:00 Схема сетей

andrace

Guest

26.10.2015 12:20:00

На данный момент. HQ [ ISP1-HQ + ISP1-Branch ] - EoIP1-hq [ ISP2-HQ + ISP1-Branch ] - EoIP2-hq [ EoIP1-hq + EoIP2-hq ] - Bonding hq
Branch [ ISP1-Branch + ISP1-HQ ] - EoIP1-branch [ ISP1-Branch + ISP2-HQ ] - EoIP2-branch [ EoIP1-branch + EoIP2-branch ] - Bonding branch
Всё работает отлично!!! НО если ISP1-Branch пропадёт, что мне тогда делать?

andrace Guest	#8 0 26.10.2015 12:22:00 Как реализовать резервирование с помощью ISP2-Branch без использования скриптов

macgaiver

Guest

26.10.2015 12:41:00

Bonding? EoIP? IPIP? IPsec? – почему каждый раз, когда вы пишете, упоминается новый набор функций? Какая у вас задача? Обеспечить соединение? Балансировку нагрузки? Я бы лично применил маршрутизацию с политиками для балансировки нагрузки на обоих устройствах: http://wiki.mikrotik.com/wiki/Manual:PCC#Application_Example_-_Load_Balancing для всего трафика, который уходит с устройств в интернет. Или вам нужна прямая связь между устройствами в частной сети?

andrace

Guest

#10

26.10.2015 14:23:00

В данном случае я не вижу большой разницы между соединениями ipip и eoip. Главный вопрос в том, если одновременно работают bonding и ipsec (в показанном случае через 3G-модем), какое из этих соединений получит наивысший приоритет? На стороне филиала у меня, очевидно, есть два маршрута (через bonding-branch и через ipsec по 3G-модему) в одну и ту же сеть (192.168.0.0/24), но я не понимаю, куда пойдёт трафик и как Mikrotik решает, какое из соединений использовать? Потому что маршруты ipsec policies не отображаются в общей таблице маршрутов.

andrace Guest	#11 0 26.10.2015 14:26:00 И да, мне нужна прямая связь между частными сетями.

andrace Guest	#12 0 28.10.2015 07:00:00 Как RouterOS решает, куда направлять трафик, если существует два подключения в одну подсеть — через ipip и через ipsec?

andrace Guest	#13 0 05.11.2015 07:29:00 Ответ: IPSEC имеет более высокий приоритет, чем любые другие туннели, игнорируя основную таблицу маршрутизации.

pe1chl Guest	#14 0 05.11.2015 10:32:00 Это я написал 21 октября. Может, тебе стоит больше читать и меньше писать!

andrace Guest	#15 0 06.11.2015 06:49:00 Да. Я пропустил твоё сообщение.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры