ipip туннель не работает
Добавлено: 14 ноя 2016, 10:18
Приветствую. Есть два офиса, в одном из них два провайдера. Настроил между ними два ipip туннеля (по одному на провайдера) с ipsec, все работало до обновления на последнюю версию ROS, после обновки, творится какая-то непонятная фигня.
Настройки первого роутера (в фаере разрешено абсолютно весь трафик между IP обоих офисов):
Настройки второго роутера:
Опять же, в фаере весь траффик между IP обоих офисов разрешен, а так же на интерфейсах ipip-isp*. IPsec поднимается успешно - судя по выводу "/ip ipsec installed-sa pr".
При этом, если пингую со второго роутера адрес 192.168.70.1, то снифером на первом роутере пакеты ловлю почему-то на интерфейсе ipip-isp2, а на ipip-isp1 тишина. При этом пинги, само собой, не проходят, как и остальные пакеты.
Как временное решение настроил ipsec туннель между офисами, но хотелось бы все это через ipip сделать.
Куда копать уже даже не знаю.
Настройки первого роутера (в фаере разрешено абсолютно весь трафик между IP обоих офисов):
Код: Выделить всё
/ip address
add address=x.x.x.x/30 interface=ether1-isp1 network=x.x.x.x
add address=y.y.y.y/24 interface=ether2-isp2 network=y.y.y.y
add address=192.168.70.1/30 interface=ipip-isp1 network=192.168.70.0
add address=192.168.70.5/30 interface=ipip-isp2 network=192.168.70.4
/interface ipip
add allow-fast-path=no ipsec-secret=ipseckey1 !keepalive local-address=x.x.x.x name=ipip-isp1 remote-address=z.z.z.z
add allow-fast-path=no ipsec-secret=ipseckey2 !keepalive local-address=y.y.y.y name=ipip-isp2 remote-address=z.z.z.z
Код: Выделить всё
/ip address
add address=z.z.z.z/24 interface=ether1-wan network=z.z.z.z
add address=192.168.70.2/30 interface=ipip-isp1 network=192.168.70.0
add address=192.168.70.6/30 interface=ipip-isp2 network=192.168.70.4
/interface ipip
add allow-fast-path=no ipsec-secret=ipseckey1 !keepalive local-address=z.z.z.z name=ipip-tunnel1 remote-address=x.x.x.x
add allow-fast-path=no ipsec-secret=ipseckey2 !keepalive local-address=z.z.z.z name=ipip-tunnel2 remote-address=y.y.y.y
При этом, если пингую со второго роутера адрес 192.168.70.1, то снифером на первом роутере пакеты ловлю почему-то на интерфейсе ipip-isp2, а на ipip-isp1 тишина. При этом пинги, само собой, не проходят, как и остальные пакеты.
Как временное решение настроил ipsec туннель между офисами, но хотелось бы все это через ipip сделать.
Куда копать уже даже не знаю.