Failover с двумя ISP на микротик CCR 1036
Добавлено: 18 май 2018, 15:04
Всем привет!
Столкнулся с очень странной проблемой на микротике CCR-1036.
Вкратце:
У нас в ДЦ стоит микротик 1036, а него заходит 2 провайдера, надо чтобы один был основным, второй резервным. На этот микротик подключаются по OpenVPN несколько офисов и получают доступ к ресурсам за ним (в серой сети). Казалось бы, задача простая. Я уже много раз такое делал.
Настроил я на нём рекурсивно 2 маршрута с разной метрикой, в стиле:
ip route add check-gateway=ping distance=4 gateway=192.203.230.10
ip route add check-gateway=ping distance=6 gateway=8.8.4.4
ip route add distance=1 dst-address=8.8.4.4/32 gateway=Gateway_Secondary_ISP scope=10
ip route add distance=1 dst-address=192.203.230.10/32 gateway=Gateway_Primary_ISP scope=10
да вот только на этом CCR-1036 заработало это не так как надо, а именно: оба интерфейса доступны извне (хотя по идее должен быть доступен только интерфейс Primary). Это порождает проблему связанную с тем, что при включении микротика в каком-нибудь офисе (они же клиенты VPN), если поднимется первым туннель к secondary-ISP, то связь не работает, хотя туннель живой (на 1036 я отметил галку Only one в настройках OpenVPN), его конечно дёрнешь вручную и заводится туннель к primary-ISP и всё нормально, но вручную дёргать - это не вариант.
Коллеги, подскажите в чём может быть проблема, из-за чего классическая схема failover на CCR-1036 не отрабатывает как на всех остальных, может кто сталкивался?
Столкнулся с очень странной проблемой на микротике CCR-1036.
Вкратце:
У нас в ДЦ стоит микротик 1036, а него заходит 2 провайдера, надо чтобы один был основным, второй резервным. На этот микротик подключаются по OpenVPN несколько офисов и получают доступ к ресурсам за ним (в серой сети). Казалось бы, задача простая. Я уже много раз такое делал.
Настроил я на нём рекурсивно 2 маршрута с разной метрикой, в стиле:
ip route add check-gateway=ping distance=4 gateway=192.203.230.10
ip route add check-gateway=ping distance=6 gateway=8.8.4.4
ip route add distance=1 dst-address=8.8.4.4/32 gateway=Gateway_Secondary_ISP scope=10
ip route add distance=1 dst-address=192.203.230.10/32 gateway=Gateway_Primary_ISP scope=10
да вот только на этом CCR-1036 заработало это не так как надо, а именно: оба интерфейса доступны извне (хотя по идее должен быть доступен только интерфейс Primary). Это порождает проблему связанную с тем, что при включении микротика в каком-нибудь офисе (они же клиенты VPN), если поднимется первым туннель к secondary-ISP, то связь не работает, хотя туннель живой (на 1036 я отметил галку Only one в настройках OpenVPN), его конечно дёрнешь вручную и заводится туннель к primary-ISP и всё нормально, но вручную дёргать - это не вариант.
Коллеги, подскажите в чём может быть проблема, из-за чего классическая схема failover на CCR-1036 не отрабатывает как на всех остальных, может кто сталкивался?