+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Мультикаст через VPN для связи между сайтами

Мультикаст через VPN для связи между сайтами, RouterOS

novical

Guest

09.02.2016 15:46:00

Я пытаюсь настроить мультикастовую сессию для VPN-соединения MikroTik-to-MikroTik. IPSec поверх IP-туннеля и IPSec поверх GRE нормально работают для пинга между двумя подсетями LAN, но не могу обнаружить мультикаст-трафик через них. За роутером 1 у меня есть устройство, настроенное как мультикаст-сервер на 224.0.0.224. Wireshark на ноутбуке за тем же роутером с фильтром ip.dst eq 224.0.0.224 показывает, что устройство отправляет мультикаст-трафик. Но на ноутбуке за другим роутером по тому же фильтру мультикаст-трафик не отображается. Ноутбуки пингуют друг друга, мультикаст-сервер и IP-адреса LAN и WAN на роутерах. Я не привязан к конкретному варианту VPN, просто пытаюсь найти способ, чтобы мультикаст-трафик корректно работал по VPN. Буду благодарен за любые советы!

jimtony

Guest

18.08.2016 17:17:00

Я сталкиваюсь с той же проблемой. Пробовал ipip туннель с IPSec и без, gre туннель с IPSec, l2tp с IPSec. Не получается получить мультикаст на другом конце. Пытался активировать только pim, потом igmp и оба вместе — никакой реакции. Мой мультикаст-сервер 239.192.49.49. Это IP-DECT система, которая использует мультикаст для связи между базовыми DECT станциями. Буду очень признателен за любые советы.

ZeroByte

Guest

18.08.2016 21:45:00

Это первое заблуждение. Правильный вариант звучит так: мой сервер посылает сообщения в мультикаст-группу 239.192.49.49. Главное отличие в том, что этот адрес — это адрес назначения, а не источник. Источником будет unicast IP сервера. Убедитесь, что в ваших таблицах маршрутов есть записи, указывающие на unicast IP сервера, потому что мультикаст-пакеты от этого источника маршрутизируются в противоположную сторону… Также проверьте, что на всех роутерах установлен RP, и что все роутеры используют одну и ту же RP-адрес.

doneware

Guest

18.08.2016 22:15:00

Чтобы настроить multicast-маршрутизацию, нужен интерфейс. Режим IPSec туннеля — будь то tunnel mode или transport mode — этого не обеспечивает. Там нет полноценной маршрутизации, только политики. Любой IP-базированный одноранговый туннель (GRE, IP-IP, EoIP и т.д.) будет отлично работать с PIM, если у него есть адресация (валидные IPv4-адреса). Клиент-серверные туннели (PPTP, L2TP, SSTP) тоже могут работать, но обычно им нужны «заданые» статические интерфейсы, например, имена пользователей сопоставляются со статическими интерфейсами, так как динамические интерфейсы в формате “” обычно не добавляются в маршрутизаторы и пропадают при разрыве сессии. L2-туннели (EoIP) работают с IGMP, поскольку это Ethernet-бриджинг. Если у вас есть «маршрутизируемые» или «мостовые» туннели, использование IPSec в режиме transport mode не сломает ничего: просто создайте политику с ESP transport mode для выбранного протокола туннелирования (например, GRE, IP protocol 47) между локальным и удалённым адресом туннеля, и всё. Сначала используйте обычный туннель без шифрования и добейтесь, чтобы multicast заработал. Трафику multicast нужен RPF-check, чтобы пройти, то есть назначения должны знать, где искать источник. Допустим, ваш MC-источник имеет IP 1.2.3.4 и шлёт пакеты на multicast-адрес 239.1.1.1 — все принимающие устройства должны иметь возможность достучаться до 1.2.3.4, иначе они не будут принадлежать дереву распространения multicast. То есть в таблице маршрутизации должен быть маршрут до 1.2.3.4 (или менее специфичный). Если у вас несколько параллельных каналов, все они должны быть настроены под PIM и уметь пересылать трафик к адресу MC-источника. Делайте по шагам:

1. Создайте туннели (без шифрования)
2. Настройте маршрутизацию
3. Настройте PIM и IGMP
4. Проверьте multicast (например, пинганите с MC-источника на адрес MC-группы) и убедитесь, что пакеты доходят до приёмников
5. При необходимости настройте шифрование для туннелей.

jimtony

Guest

19.08.2016 06:14:00

Извиняюсь за опечатку. Мультикаст-сервер имеет IP-адрес 192.168.100.15 и отправляет сообщения на 239.192.49.49. В данный момент я использую два роутера. Вот моя конфигурация:
Роутер 1:
/interface ipip add allow-fast-path=no !keepalive local-address=R1_WAN_IP name=ipip-tunnel1 remote-address=R2_WAN_IP
/ip address add address=1.1.1.1/24 interface=ipip-tunnel1 network=1.1.1.0
/ip firewall filter add action=accept chain=input log-prefix=“” protocol=ipip
/ip firewall nat add action=accept chain=srcnat dst-address=192.168.92.0/23 log-prefix=“” src-address=192.168.100.0/24
/ip route add distance=1 dst-address=192.168.92.0/23 gateway=1.1.1.2
/routing pim interface add interface=bridge1 (IGMP и PIM включены)
/routing pim interface add interface=ipip-tunnel1 (IGMP и PIM включены)
/routing pim rp add address=192.168.100.1 group=239.0.0.0/8

Роутер 2:
/interface ipip add allow-fast-path=no !keepalive local-address=R2_WAN_IP name=ipip-tunnel1 remote-address=R1_WAN_IP
/ip address add address=1.1.1.2/24 interface=ipip-tunnel1 network=1.1.1.0
/ip firewall filter add action=accept chain=input log-prefix=“” protocol=ipip
/ip firewall nat add action=accept chain=srcnat dst-address=192.168.100.0/24 log-prefix=“” src-address=192.168.92.0/23
/ip route add distance=1 dst-address=192.168.100.0/24 gateway=1.1.1.1
/routing pim interface add interface=bridge-local (IGMP и PIM включены)
/routing pim interface add interface=ipip-tunnel1 (IGMP и PIM включены)
/routing pim rp add address=192.168.100.1 group=239.0.0.0/8

Я отключил IPsec, чтобы убедиться, что это не из-за неправильной настройки. Перешёл с GRE на IPIP — тоже не помогло.

В вкладке MFC роутера 1 вижу, что 192.168.93.3 в списке, но в графе входящего интерфейса указано «unknown». Исходящий интерфейс — «bridge1».

Когда пытаюсь пинговать 239.192.49.49 с R1, получаю ответ только от устройств внутри R1. С R2 — только от устройств внутри R2.

С уважением, Джим

jimtony Guest	#6 0 22.08.2016 17:24:00 Нет предложений?

ZeroByte

Guest

22.08.2016 20:40:00

Ну, ваши правила исключения NAT не применимы к мультикаст-трафику…
R1: /ip firewall nat add action=accept chain=srcnat dst-address=192.168.92.0/23 log-prefix=“” src-address=192.168.100.0/24
R2: /ip firewall nat add action=accept chain=srcnat dst-address=192.168.100.0/24 log-prefix=“” src-address=192.168.92.0/23

Мультикаст-трафик направлен на адрес 239.192.49.49 — поэтому он не будет освобождён от NAT по этим правилам. Очевидно, что у вас есть ещё правила NAT, кроме показанных, потому что отсутствуют masquerade/srcnat правила, которые позволили бы общий интернет-трафик…

Я бы переписал ваши правила NAT так:
chain=srcnat action=accept out-interface=tunnel-interface
(или вообще оставил бы только masquerade правило для out-interface=wan-interface, так как туннельный интерфейс НЕ является WAN-интерфейсом, и на него NAT не сработает, а значит, исключения не понадобятся)

aartyom Guest	#8 0 12.01.2017 10:03:00 У меня похожая проблема, но не уверен, нужно ли настраивать что-то в правилах Firewall и NAT, чтобы мультикаст работал. Может кто-то прояснить? Моя конфигурация: 192.168.0.0/24->MTK0=192.168.0.200;1.1.1.1<—IPSEC VPN С NAT–>MTK8=192.168.8.0;2.2.2.2<-192.168.8.0 Ниже приведена соответствующая конфигурация, но это не работает, и счетчики MCAST rx/tx даже не растут. Клиенты могут пинговать и получать доступ друг к другу. MTK0 /ip address add address=192.168.0.200/24 comment="default configuration" interface=ether2-master-local network=192.168.0.0 add address=1.1.1.1/30 interface=ether1-gateway network=1.1.1.0 /ip route add distance=1 gateway=1.1.1.2 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-192-cbc,3des /ip ipsec peer add address=2.2.2.2/32 enc-algorithm=3des secret=* /ip ipsec policy add dst-address=192.168.8.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.0.0/24 tunnel=yes /ip firewall filter add action=accept chain=forward dst-address=192.168.8.0/24 src-address=192.168.0.0/24 add action=accept chain=forward dst-address=192.168.0.0/24 src-address=192.168.8.0/24 add action=accept chain=input comment="Allow IKE" dst-port=500,4500,1701 protocol=udp add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah /ip firewall nat add action=accept chain=srcnat dst-address=192.168.8.0/24 out-interface=ether1-gateway src-address=192.168.0.0/24 /routing igmp-proxy interface add alternative-subnets=227.0.0.2/32 interface=ether1-gateway upstream=yes add alternative-subnets=227.0.0.2/32 interface=bridge-local /routing pim interface add alternative-subnets=227.0.0.2/32,192.168.0.0/24,192.168.8.0/24 /routing pim rp add address=2.2.2.2 disabled=yes group=227.0.0.2/32 add address=192.168.8.1 group=227.0.0.2/32 MTK8 /ip address add address=192.168.8.1/24 comment=defconf interface=ether2-master network=192.168.8.0 add address=2.2.2.2/30 interface=ether1-gateway network=2.2.2.0 /ip route add distance=1 gateway=2.2.2.1 /ip firewall filter add action=accept chain=forward dst-address=192.168.8.0/24 in-interface=ether1-gateway out-interface=bridge-local src-address=192.168.0.0/24 add action=accept chain=forward dst-address=192.168.0.0/24 in-interface=bridge-local out-interface=ether1-gateway src-address=192.168.8.0/24 add action=accept chain=input comment="Allow IKE" dst-port=500,1701,4500 protocol=udp add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah /ip firewall nat add action=accept chain=srcnat dst-address=192.168.0.0/24 out-interface=ether1-gateway src-address=192.168.8.0/24 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-192-cbc,3des /ip ipsec peer add address=176.99.136.86/32 enc-algorithm=3des policy-template-group=default secret=* /ip ipsec policy add dst-address=192.168.0.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.8.0/24 tunnel=yes /routing igmp-proxy interface add alternative-subnets=227.0.0.2/32 disabled=yes interface=ether1-gateway upstream=yes add alternative-subnets=227.0.0.2/32 disabled=yes interface=bridge-local /routing pim interface add alternative-subnets=227.0.0.2/32 disabled=yes /routing pim rp add address=2.2.2.2 disabled=yes group=227.0.0.2/32 add address=192.168.8.1 group=227.0.0.2/32 Windows-приложение — vypress chat, оно не использует какой-то конкретный сервер, а просто шлёт пакеты в группу 227.0.0.2, чтобы зарегистрироваться и увидеть соседей. Клиенты локальной подсети видятся без проблем, но клиентов из удалённой подсети не видно. Пробовал добавлять правила nat, filter (forward) и ipsec-proposal для 192.168.0.0->227.0.0.2, но ничего не сработало, счетчики rx/tx по-прежнему 0.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры