Страница 1 из 1
IPSec два коннекта с одного IP
Добавлено: 04 апр 2019, 01:36
Jukilo
Есть два роутера, у Mikrotik1 один провайдер (белый ip) у Mikrotik2 два провайдера (оба ip белые).
Mikrotik1 является инициализатором ipsec (у mikrotik2 passive=yes и peer address=0.0.0.0/0), соединение устанавливается если настроен коннект только с одним из провайдеров, если настроить оба то соединение (phase1) устанавливается по одному из провайдеров, рвется и сразу устанавливается по другому и такая мигалка продолжается вечно...
В интернете нашел, что похожая проблема была с ikev1, но у меня ikev2, неужели не решили?
ROS: 6.43.13
- ros-ipsec.png (19.19 КБ) 5284 просмотра
mkt1 (init):
Код: Выделить всё
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=des name=Test-P1
/ip ipsec policy group
add name=Test
/ip ipsec proposal
add enc-algorithms=des name=Test-P2
/ip address
add address=1.1.1.1/24 interface=ether1 network=1.1.1.0
/ip ipsec peer
add address=2.2.2.2/32 exchange-mode=ike2 policy-template-group=Test profile=Test-P1 secret=test123
add address=3.3.3.3/32 exchange-mode=ike2 policy-template-group=Test profile=Test-P1 secret=test123
/ip route
add distance=1 gateway=1.1.1.254
/system package update
set channel=long-term
mkt2 (resp, dual wan)
Код: Выделить всё
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=des name=Test-P1
/ip ipsec policy group
add name=Test
/ip ipsec proposal
add enc-algorithms=des name=Test-P2
/caps-man manager
set enabled=yes
/interface wireless cap
set caps-man-addresses=127.0.0.1 interfaces=wlan1
/ip address
add address=2.2.2.2/24 interface=ether1 network=2.2.2.0
add address=3.3.3.3/24 interface=ether2 network=3.3.3.0
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=ike2 generate-policy=port-strict passive=yes policy-template-group=Test profile=Test-P1 secret=test123 send-initial-contact=no
/ip ipsec policy
add dst-address=0.0.0.0/0 group=Test proposal=Test-P2 protocol=udp src-address=0.0.0.0/0 template=yes
/ip route
add check-gateway=ping distance=1 gateway=2.2.2.254 routing-mark=isp1
add check-gateway=ping distance=1 gateway=3.3.3.254 routing-mark=isp2
add check-gateway=ping distance=1 gateway=2.2.2.254
add check-gateway=ping distance=2 gateway=3.3.3.254
/ip route rule
add action=lookup-only-in-table src-address=2.2.2.2/32 table=isp1
add action=lookup-only-in-table src-address=3.3.3.3/32 table=isp2
/system package update
set channel=long-term
Re: IPSec два коннекта с одного IP
Добавлено: 05 апр 2019, 14:04
Sertik
Это не в Микротик, а Вы должны решать ... С чего Вы взяли, что Ваш Микротик2, имеющий выход в Глобал, настроенный на два провайдера, сам разберётся по какому каналу ему коннекты слать ? Надо понимать, что у Вас за туннель и какие там пакетики бегают .... Чтобы такие вещи правильно работали при двух провайдерах соединения маркировать нужно и и дальше уже ими рулить ... То есть всё что связано с Вашим IPSEC и его тоннелем (если в тоннеле шифрование) должно и "входить" и "выходить" через один и тот же WAN-канал. Через оба сразу никак работать не будет.
Re: IPSec два коннекта с одного IP
Добавлено: 05 апр 2019, 16:24
Jukilo
>. С чего Вы взяли, что Ваш Микротик2, имеющий выход в Глобал, настроенный на два провайдера, сам разберётся по какому каналу ему коннекты слать ?
wayback настроен правильно, по отдельности оба ipsec подключаются. Не работает только одновременно
Re: IPSec два коннекта с одного IP
Добавлено: 09 апр 2019, 14:22
Erik_U
Jukilo писал(а): ↑05 апр 2019, 16:24
wayback настроен правильно, по отдельности оба ipsec подключаются. Не работает только одновременно
Вам нужно 2 IPSEC соединения одновременно?
Или одно соединение IPSEC при двух активных ISP на микротик2 ?
Re: IPSec два коннекта с одного IP
Добавлено: 09 апр 2019, 23:00
Jukilo
> Вам нужно 2 IPSEC соединения одновременно?
да
два соединения, по одному через каждого из isp
Re: IPSec два коннекта с одного IP
Добавлено: 10 апр 2019, 07:16
Erik_U
Как вы строите IPSEC туннели?
Если сделать, например, 2 GRE туннеля с включенным IPSEC причин не работать возникнуть не должно.
Re: IPSec два коннекта с одного IP
Добавлено: 16 апр 2019, 10:40
Jukilo
https://forum.mikrotik.com/viewtopic.ph ... 41#p724941 тут пример конфигурации с тестового стенда...я чего-то забыл ее на этом форуме добавить и не замечал...
> Если сделать, например, 2 GRE туннеля с включенным IPSEC причин не работать возникнуть не должно.
Рано еще о gre думать, у меня на этапе ipsec phase1 начинаются проблемы
Re: IPSec два коннекта с одного IP
Добавлено: 16 апр 2019, 21:35
Erik_U
Сначала сделаейте 2 GRE туннеля без шифрования. И добейтесь, чтобы они работали одновременно, и друг другу не мешали.
Потом на одном микротике настройте IPSEC в пассивном режиме
А на другом в настройках GRE туннелей поставьте галочки на IPSEC и укажите кодовое слово.
Настройку IPSEC можно сделать как в мануале L2TP. Тогда на микротике, где IP/IPSEC пассивный настроен можно будет еще и L2ТP сервер поднять.
Re: IPSec два коннекта с одного IP
Добавлено: 16 апр 2019, 23:42
Jukilo
два gre работают и два sstp(сейчас они используются) работают, а вот с ipsec проблема.
Re: IPSec два коннекта с одного IP
Добавлено: 17 апр 2019, 07:02
Erik_U
Настройте IPSEC на принимающем микротике по этому мануалу
http://bozza.ru/art-248.html
а у второго не настраивайте, а только в настройках GRE укажите ту же кодовую фразу, что и в IPSEC на принимающем.