ipip туннель не работает

[freewood]

Приветствую. Есть два офиса, в одном из них два провайдера. Настроил между ними два ipip туннеля (по одному на провайдера) с ipsec, все работало до обновления на последнюю версию ROS, после обновки, творится какая-то непонятная фигня.
Настройки первого роутера (в фаере разрешено абсолютно весь трафик между IP обоих офисов):

Код: Выделить всё

/ip address
add address=x.x.x.x/30 interface=ether1-isp1 network=x.x.x.x
add address=y.y.y.y/24 interface=ether2-isp2 network=y.y.y.y
add address=192.168.70.1/30 interface=ipip-isp1 network=192.168.70.0
add address=192.168.70.5/30 interface=ipip-isp2 network=192.168.70.4
/interface ipip
add allow-fast-path=no ipsec-secret=ipseckey1 !keepalive local-address=x.x.x.x name=ipip-isp1 remote-address=z.z.z.z
add allow-fast-path=no ipsec-secret=ipseckey2 !keepalive local-address=y.y.y.y name=ipip-isp2 remote-address=z.z.z.z

Настройки второго роутера:

Код: Выделить всё

/ip address
add address=z.z.z.z/24 interface=ether1-wan network=z.z.z.z
add address=192.168.70.2/30 interface=ipip-isp1 network=192.168.70.0
add address=192.168.70.6/30 interface=ipip-isp2 network=192.168.70.4
/interface ipip
add allow-fast-path=no ipsec-secret=ipseckey1 !keepalive local-address=z.z.z.z name=ipip-tunnel1 remote-address=x.x.x.x
add allow-fast-path=no ipsec-secret=ipseckey2 !keepalive local-address=z.z.z.z name=ipip-tunnel2 remote-address=y.y.y.y

Опять же, в фаере весь траффик между IP обоих офисов разрешен, а так же на интерфейсах ipip-isp*. IPsec поднимается успешно - судя по выводу "/ip ipsec installed-sa pr".
При этом, если пингую со второго роутера адрес 192.168.70.1, то снифером на первом роутере пакеты ловлю почему-то на интерфейсе ipip-isp2, а на ipip-isp1 тишина. При этом пинги, само собой, не проходят, как и остальные пакеты.
Как временное решение настроил ipsec туннель между офисами, но хотелось бы все это через ipip сделать.
Куда копать уже даже не знаю.

[Chupaka]

А в маршрутах при этом что творится? Не надо ручками пакетики второго тоннеля отправлять не по маршруту по умолчанию, а через второе подключение?

[freewood]

Это на первом роутере.

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          x.x.x.x             20
 1 A S  0.0.0.0/0                          y.y.y.y              21
 2 A S  ;;; main-route
        0.0.0.0/0                          x.x.x.x              1
 6 ADC  x.x.x.x/30    x.x.x.x    ether1-isp1                0
 7 ADC  y.y.y.y/24     y.y.y.y    ether2-isp2             0
 8 ADC  192.168.70.0/30    192.168.70.1    ipip-isp1              0
 9 ADC  192.168.70.4/30    192.168.70.5    ipip-isp2              0

main-route - это маршрут поумолчанию, туда скрипт фейловера нужный шлюз подставляет в зависимости от пингов.

Это на втором.

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          z.z.z.z              0
 4 ADC  z.z.z.z/25    z.z.z.z   ether1-wan                0
 5 ADC  192.168.70.0/30    192.168.70.2    ipip-isp1              0
 6 ADC  192.168.70.4/30    192.168.70.6    ipip-isp2              0

Дефолтные маршруты к локалке на мосту убрал, там совершенно другая подсеть и отношения к делу не имеет, как я полагаю.

[Chupaka]

Вот на первом роутере и надо сделать, чтобы пакеты от x.x.x.x к z.z.z.z шли через ether1, а от y.y.y.y к z.z.z.z — через ether2. Например, в mangle output маркировать роутинг.

[freewood]

Сейчас у меня в mangle маркируются только входящие подключения, что бы они уходили через соответствующий маршрут обратно, а не через дефолтный.
В целях эксперимента отключил полностью iptunnel-isp2 на обоих роутерах. Соответственно сейчас только один туннель через дефолтный маршрут, с маршрутизацией не должно быть проблем.
Но при пингах с 1-го на 2-ой роутер ошибка packet rejected. Предполагаю, из-за того, что поднят ipsec туннель. В вики у микротика, помнится, была заметка, что ipsec может работать только в единственное экземпляре на одном ip-адресе, возможно в этом и причина неработающих двух тоннелей. Правда возникает вопрос, как оно работало до обновления.
К слову, пробовал ipip без ipsec, то же самое абсолютно. Не проходят пакеты и все тут. Попробую во внерабочее время, отпишусь что получится.

[Chupaka]

FastTrack не используется? А если FastPath выключить (IP -> Settings)? С какой на какую версию было обновление?

[freewood]

Обновлялся, к слову, один из роутеров, с 6.36.2 до 6.37.1
Вчера вечером отключил ipsec туннель, удалил оба ipip туннеля. При этом, что самое важное, ничего не менял в фаерволле и маршрутах. Создал заново два туннеля, все завелось с шифрованием без каких либо вопросов. Вообщем мистика какая-то.

FastTrack не используется?

Неа.