PCC на 3 провайдера

RIP, OSFP, BGP, MPLS/VPLS
joker
Сообщения: 21
Зарегистрирован: 29 апр 2019, 16:22

Re: PCC на 3 провайдера

Сообщение joker » 06 ноя 2019, 09:07

И вот лог по ipsec

И мои маршруты к каждой удалённой точке IPSec-тоннеля

/ip route
add distance=1 gateway=pppoe-out1_ByFly routing-mark=ISP3-WAN3
add distance=1 gateway=82.1.1.125 routing-mark=ISP1-WAN1
add distance=1 gateway=82.2.2.117 routing-mark=ISP2-WAN2
add comment="route for Office 708" distance=1 dst-address=37.3.3.118/32 gateway=pppoe-out1_ByFly
add comment="route for Offece 401" distance=1 dst-address=37.4.4.66/32 gateway=pppoe-out1_ByFly
add comment=IPsec-LOS2-kerio distance=1 dst-address=178.5.5.218/32 gateway=ether1-wan1
add comment=IPsec-Active distance=1 dst-address=193.6.6.183/32 gateway=ether2-wan2


Ни с того, ни с сего тоннель может отвалится и начать обмениваться ключами
Вложения
7.IPsec log.JPG
7.IPsec log.JPG (199.75 КБ) 71 просмотр

Аватара пользователя
Chupaka
Сообщения: 2142
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PCC на 3 провайдера

Сообщение Chupaka » 06 ноя 2019, 12:52

Чтобы тоннели IPSec не попадали под policy routing, либо сделайте Accept в Firewall Mangle output для dst-address=адреса серверов, либо что-то вроде

Код: Выделить всё

/ip route rule
add dst-address=37.3.3.118/32 table=main
add dst-address=37.4.4.66/32 table=main
add dst-address=178.5.5.218/32 table=main
add dst-address=193.6.6.183/32 table=main

joker
Сообщения: 21
Зарегистрирован: 29 апр 2019, 16:22

Re: PCC на 3 провайдера

Сообщение joker » 06 ноя 2019, 13:21

Оставил мои маршруты к каждой удалённой точке IPSec-тоннеля
/ip route
add distance=1 gateway=pppoe-out1_ByFly routing-mark=ISP3-WAN3
add distance=1 gateway=82.1.1.125 routing-mark=ISP1-WAN1
add distance=1 gateway=82.2.2.117 routing-mark=ISP2-WAN2
add comment="route for Office 708" distance=1 dst-address=37.3.3.118/32 gateway=pppoe-out1_ByFly
add comment="route for Offece 401" distance=1 dst-address=37.4.4.66/32 gateway=pppoe-out1_ByFly
add comment=IPsec-LOS2-kerio distance=1 dst-address=178.5.5.218/32 gateway=ether1-wan1
add comment=IPsec-Active distance=1 dst-address=193.6.6.183/32 gateway=ether2-wan2

Добавил rule по вашей рекомендации
/ip route rule
add dst-address=37.3.3.118/32 table=main
add dst-address=37.4.4.66/32 table=main
add dst-address=178.5.5.218/32 table=main
add dst-address=193.6.6.183/32 table=main

И те тоннели которые работали, перестали работать. Начали переподключаться

Аватара пользователя
Chupaka
Сообщения: 2142
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PCC на 3 провайдера

Сообщение Chupaka » 06 ноя 2019, 15:30

На той стороне адреса удалённых сторон тоннелей соответствуют адресам на соответствующих интерфейсах роутера?..

joker
Сообщения: 21
Зарегистрирован: 29 апр 2019, 16:22

Re: PCC на 3 провайдера

Сообщение joker » 07 ноя 2019, 10:29

Ну конечно

Аватара пользователя
Chupaka
Сообщения: 2142
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PCC на 3 провайдера

Сообщение Chupaka » 09 ноя 2019, 01:08

Ну, я бы теперь брал в руки какой-нибудь Tools -> Packet Sniffer и смотрел, куда уходят и приходят пакеты IPSec...

Ответить