+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

VPN через балансировку PCC

VPN через балансировку PCC, RouterOS

ragis

Guest

26.06.2017 02:54:00

Может пригодиться… Оборудование и конфигурация:
RB: 951G-2HnD
RouterOs: 6.39.2
Ether1=WAN1: динамический IP, 10 Мбит/с
Ether2=WAN2: динамический IP, 6 Мбит/с
Ether3=LAN: локальная сеть
Ether4=выключен
Ether5=выключен

/ip firewall mangle
add action=mark-connection chain=prerouting comment=VPN TRAFFIC in-interface=all-ppp new-connection-mark=mc_vpn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=mc_vpn new-routing-mark=mr_vpn passthrough=no

/ip route
add check-gateway=ping distance=1 gateway=WAN1 routing-mark=“to_WAN1, mr_vpn”
add check-gateway=ping distance=1 gateway=WAN2 routing-mark=“to_WAN2”

/ip firewall nat
add action=masquerade chain=srcnat out-interface=LAN

shamet Guest	#2 0 02.10.2019 18:28:00 Думаю, это имеет смысл только если ваше WAN-соединение не PPPoE. Исправьте меня, если я ошибаюсь.

Zacharias

Guest

02.10.2019 18:54:00

Ragis здесь просто обозначает соединение, исходящее с VPN-стороны, и гарантирует, что оно всегда будет маршрутизироваться через его первый WAN… Иначе мог бы использоваться и второй WAN, и тогда возникли бы проблемы с коммуникацией с другой стороной VPN… Есть и другие способы сделать это.

shamet

Guest

02.10.2019 21:51:00

Да, я понимаю правило маркировки. Но маркировка incoming in-interface=all-ppp, когда один из моих WAN — PPPoE, отмечает весь трафик с этого WAN как идущий с VPN. По крайней мере, именно это я наблюдал, когда пытался реализовать его решение. У меня проблемы с доступом ко всем устройствам (к одним могу пингануть, к другим нет) на удалённой стороне при использовании VPN-соединения (L2TP), и я решил попробовать этот способ. Один из моих WAN — PPPoE, и, думаю, так не сработает.

Zacharias

Guest

02.10.2019 21:58:00

В вашем случае в интерфейсе должен быть только ваш VPN, а не все ppp, включая ваш pppoe-клиент… Рагис должен был быть более конкретным и не выбирать все ppp. Но так как у него нет pppoe-клиента, его настройка работает.

shamet Guest	#6 0 02.10.2019 22:24:00 Да, дело в том, что я не могу выбрать VPN-интерфейс, потому что это какой-то динамический интерфейс, и когда соединение не установлено, я не вижу его в списке, чтобы выбрать.

Zacharias Guest	#7 0 02.10.2019 22:30:00 Сделай тогда статичным…

shamet

Guest

02.10.2019 22:44:00

Правильно, звучит разумно и просто. Попробую поискать решение.
Редактирование: Спасибо за подсказку. Я добавил статический интерфейс l2tp-in, но у меня почему-то не работает. Если убрать часть mr_vpn из моей маркировки маршрута, тогда работает, а с этой частью — нет. Выдаёт: ipsec,error phase1 negotiation failed due to time up… и не могу подключиться. Зато на соединении WAN2 всё работает, но, думаю, это не большая неожиданность.

shamet Guest	#9 0 03.10.2019 19:18:00 Думаю, что это не сработает даже с статическим l2tp-in в моём случае. Такой интерфейс не активен, пока не установится соединение, поэтому это правило mangle просто не сработает.

Zacharias Guest	#10 0 03.10.2019 19:37:00 Если нет подключения, почему это должно работать? И как? Ты сделал его статичным, чтобы использовать в своих правилах… даже когда оно не работает…

shamet

Guest

#11

03.10.2019 19:58:00

Хотел бы я знать. У меня настроен интерфейс l2tp-in, но правило mangle с вызовом этого интерфейса помечено красным, пока соединение не установлено. При экспорте я получаю:

# l2tp-in1 не готов
add action=mark-connection chain=prerouting comment="VPN TRAFFIC" in-interface=l2tp-in1 new-connection-mark=mc_vpn passthrough=yes

Когда у меня так и есть, и я оставляю Routing Mark без изменений, проблем нет. Соединение устанавливается, правило становится активным и кажется, что всё нормально. Но когда я добавляю mr_vpn к моему Routing Mark, VPN не может подключиться именно на этом WAN интерфейсе.

Zacharias Guest	#12 0 03.10.2019 20:48:00 Можешь отключить все WAN-интерфейсы, кроме того, который хочешь использовать с l2tp? Если да — работает? Даже если в таблице маршрутизации есть mr_vpn?

shamet

Guest

#13

03.10.2019 22:58:00

Да, я сделал это с дрожащими руками, потому что боялся потерять соединение с удалённым узлом, но настроил простое отключение и включение интерфейса по расписанию, чтобы в случае сбоя можно было быстро вернуть всё в рабочее состояние. В любом случае, работает. Когда, скажем, интерфейс WAN1 отключён, всё прекрасно функционирует через WAN2. Это даже решает мою основную проблему. Теперь я могу пинговать все удалённые устройства при подключении через VPN. Раньше я не мог пинговать некоторые из них, и это происходило совсем случайным образом. Значит, направление верное, но в моём случае нужна другая схема решения.

Zacharias

Guest

#14

03.10.2019 23:08:00

Хорошо. Причина, по которой у тебя возникли проблемы с подключением, когда оба WAN были активны и mr_vpn присутствовал в таблице маршрутизации, в том, что твое L2TP-соединение явно инициировалось через wan1, но из-за правила mangle ты направлял входящий трафик с VPN обратно через wan2. Ты можешь изменить приоритет интерфейсов WAN или снова использовать правила mangle, чтобы указать, с какого WAN инициировать L2TP-соединение.

shamet

Guest

#15

03.10.2019 23:32:00

Ну, вряд ли. Я пытался подключиться через VPN, используя свой IP-адрес WAN2. У меня настроены два подключения с IP-адресами WAN1 и WAN2. Что ты имеешь в виду под «»? Ты предлагаешь изменить дистанцию в маршруте? У меня для обоих она установлена на 1, так что, думаю, дело не в этом.

Isla4419 Guest	#16 0 04.10.2019 06:46:00 Смотрите здесь: http://forum.mikrotik.com/t/solved-pcc-load-banance-router-and-vpn-have-no-internet/109722/1

Zacharias Guest	#17 0 04.10.2019 10:03:00 Мой совет — внимательно изучить пример манджей PCC… https://wiki.mikrotik.com/wiki/Manual:PCC

shamet Guest	#18 0 04.10.2019 10:51:00 Это была моя отправная точка, и именно так у меня всё настроено сейчас, уже довольно давно. Кажется, работает хорошо, но не с VPN, отсюда и вся история.

Zacharias Guest	#19 0 04.10.2019 12:36:00 В вашей настройке явно есть ошибка... Если хотите, можете экспортировать всю конфигурацию роутера с скрытием конфиденциальных данных и выложить её здесь...

Sob Guest	#20 0 04.10.2019 12:44:00 Краткое замечание: routing-mark=“to_WAN1, mr_vpn” означает один маркировочный маршрут с именем «to_WAN1, mr_vpn», а НЕ два маркировочных маршрута «to_WAN1» и «mr_vpn».

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры