Russian Users MikroTik | Форум пользователей MikroTik

Приветствую всех!
Вот столкнулся с задачкой - и пока не нашел внятного решения
Два микротика - Один дома со статичным белым IP, на нем поднят OpenVPN сервер. Второй на даче, два LTE провайдера, IP адреса за NAT провайдера.
На даче настроена отказоустойчивость выхода в интернет. Но VPN иногда рвется, а нужна стабильность.
Создал второго OpenVPN клиента. Но не могу заставить каждого из них выходить через своего LTE провайдера.
Перерыл весь mangle и routing - но ничего подходящего не нашел....

P.S. Понятно, что потом надо будет настроить OSPF или BGP для обмена маршрутной информацией между сетями.

А чего рыли то (в мангл и роутинг) ? Размечать надо трафик и пускать каждый туннель через своего провайдера, если задача в этом. А вот как это сделать - ну кто же Вам такой рецепт преподнесёт на блюдечке с голубой каемочкой, когда тут люди годами своим потом и кровью за это бились ? Такие работы с кондачка не делаются и являются по сути коммерческим продуктом ... Так что если есть желание понять и сделать самому - утирайте слезы и сопли и принимайтесь за серьёзное чтение теории сетей и РоутерОс ... Если такого желания нет - выход один - заказ готовой работы у тех, кто это делает быстро, профессионально, но увы .. за неплохие мани-мани ... (профи хорошо известны в определенных кругах, а также легко и официально гуглятся в Инете) ...

P/S В прочем, имея на даче два LTE-провайдера (и модема в Тиках, соответственно) - это с одной стороны и вместе с тем с другой - кому легко и "понятно" как настроить OSPF и BGP - мне даже сложно предположить, почему у этого человека могут вообще возникнуть какие-либо сложности с настройкой VPN-туннелей, каждый через своего провайдера ?

подсказываю внятное решение - ключевые слова ikev2 +eoip + bonding + static routes. Отказоусточивость, отсутствие проблем с нат и времени сходимости

В случае eoip+bonding у топикастера "на даче" WAN-ами явно не lte должны быть Ему придется проводной Интернет через лес тащить как минимум
Про ikev2 я вообще промолчу.

Sertik писал(а): ↑09 апр 2020, 16:12 В случае eoip+bonding у топикастера "на даче" WAN-ами явно не lte должны быть Ему придется проводной Интернет через лес тащить как минимум
Про ikev2 я вообще промолчу.

И правильно сделаете. А я всего лишь подсказал свою практику, с кондачка.

Вот какие вы все правильные
eoip, как и ipsec конечно не подходит, т.к. у LTE провайдеров на Даче нет белого IP для безлимитных тарифов
Варианты - притащить через лес 3 километра оптики или построить вышку для РРЛ высотой метров 40-50 прошу не предлагать
Спасибо всем что грамотно послали, я же не просил настроить за меня - мне направление укажите - сам раскопаю
Да я имею представление о том как работают сети и протоколы маршрутизации и как в Linux/RouterOs устроена обработка пакетов - не не глубоко и я не сертифицированный сетевик. Поэтому и спросил совета.
Как разметить трафик, если он отличается только PPP профилем или именем VPN соединения.... Извращенный вариант через dst-nat думаю работать не будет......
Или скажите что глушняк - не буду мучатся сомненьями

Нет не глушняк. Проблема Ваша решаема.

Более того, раз Вам не нужна "балансировка", а одновременно по Вашей логике работает только один ovpn-клиент, зачем тогда вообще какие-то огороды ? Один lte-интерфейс имеет метрику дефолтного маршрута меньше чем другой, значит он будет основным WAN-каналом, второй - резервным. Зачем настраивать два OVPN-клиента ? Чтобы себя запутать ? OVPN-клиент будет подключаться через "активный" WAN-канал (с меньшей метрикой т.е. distance). Для "гарантии" можно скрипт написать, который будет "оценивать" каналы и включать лучший из них (ну это имеет смысл, если у Вас антенны WAN-lte, например, разные (направленные - для lte1 и панельные - для lte2 к примеру; или антенны lte 1 и lte2 ориентированы на разные две вышки сотовых операторов). Ну или сами провайдеры разные (Билайн и Мегафон например, и в разных условиях и время/погоду они разные скорости и стабильность выдают. Такие решения есть.

Если же Вы хотите чего -то большего, то, во-первых не ясно пока чего ..., а во-вторых всё равно всё делается. Но опять же если уж связывать дачный роутер "двойными" каналами, так уж не с одним роутером-сервером тогда, а с разными вяжите, в этом есть смысл. Если один VPN-сервер будет не доступен, роутер будет соединяться с другим и Вы всегда "зайдете" удаленно на него и в свою "дачную" сеть. Или будет соединен одновременно с двумя (тремя, десятью ...) серверами как паук: будет Вам резервирование и отказоустоичивость и full mesh и ospf и что хотите. Но сначала надо четко рисовать схему и описывать задачу. Можно потренироваться на статических маршрутах для связности сетей, потом уже отладив все перейти к ospf. Можно и vpn-тоннели пустить через разных провайдеров, но надо нормальную "универсальную", так сказать "на все случаи жизни" балансировку трафика делать на роутере-клиенте. Это всё не с кандачка и не за один день ... Ну, может и есть люди, которые такие вещи могут за час настроить руками, не знаю, для меня это гении IT (или у них есть отлаженные заготовки).

Ещё подсказка: если же вяжите роутер как VPN-клиент с другим только одним роутером VPN-сервером, тогда можно сделать на роутере-клиенте два РАЗНЫХ VPN (например, l2tp+ipsec и ovpn) и отмаркировав их трафик через разные lte-wan-гейты принимать ОБА на роутере-сервере. Тогда и трафик их "различить" проще (по типу, портам и т.д..) ... И каждый из них только через свой wan-lte ходить будет и в том числе одновременно если оба lte работают или только один (если второй висит или мани-мани кончились).

Опишите четко задачу со схемой. Может и поможем чем-нибудь ...

Дома интернет на GPON от МГТС и он очень стабилен - поэтому второй провайдер дома мне по факту не требуется, хотя как решение проблемы - можно было бы и завести.
Огород на даче мне нужен последующей причине - когда рвется связь на "первом" LTE операторе происходит пересоздание туннеля, оно занимает некоторое время - и соотвественно потеря пакетов между сетями дома и дачи.
Мне не очень важна скорость или балансировка нагрузки - мне важна стабильность (отсутсвие потери пакетов).

Да у меня есть "внешний" сервер на Linux и собран "треугольник" из OpenVPN каналов, можно конечно настроить дополнительно маршрутизацию через "внешний" сервер, но я думал что что есть элегантное решение с двумя туннелями. Поднять кластер из микротиков дома - это конечно прикольно, но для моей ситуации излишество, как и второй провайдер дома.

В части l2tp вариант конечно....... но я надеялся что будет красивое решение.....

Вообщем получается три варианта решения данного вопроса:
1. Второй провайдер домой (и расширенный вариант этого случая - второй микротик домой)
2. Для второго канала промежуточный OpenVPN сервер на хостере.....
3. Второй VPN делать L2TP+ipsec - соответственно есть разнесение по портам.

По всей видимости остановлюсь на втором варианте.

Есть третий вариант, достаточно бредовый, но может попробуете? Ставить на пакеты метки DSCP на входе в туннель и ловить их на втором Тике на выходе. Ну и обратный процесс... По меткам и различать. Сразу скажу, сам не пробовал. Я как бы просто предлагаю, даже без надежды на проверку...
Простите, если глупость сказал...

После некоторого раздумья остановился на варианте двух VPN туннелей - один OpenVPN второй SSTP. Выпустил соединения через разных LTE провайдеров разделив соединения по номер dst порта. Пока внутри сети поднял на статических маршрутах, т.к. сетей не так много. Жаль конечно что в Microtik нельзя выбирать интерфейс на котором поднимается PPP клиент или сервер - это бы решило вопрос красиво.....