Failover с двумя ISP на микротик CCR 1036

RIP, OSFP, BGP, MPLS/VPLS
Дмитрий
Сообщения: 14
Зарегистрирован: 15 фев 2018, 13:06

Failover с двумя ISP на микротик CCR 1036

Сообщение Дмитрий »

Всем привет!
Столкнулся с очень странной проблемой на микротике CCR-1036.
Вкратце:
У нас в ДЦ стоит микротик 1036, а него заходит 2 провайдера, надо чтобы один был основным, второй резервным. На этот микротик подключаются по OpenVPN несколько офисов и получают доступ к ресурсам за ним (в серой сети). Казалось бы, задача простая. Я уже много раз такое делал.
Настроил я на нём рекурсивно 2 маршрута с разной метрикой, в стиле:
ip route add check-gateway=ping distance=4 gateway=192.203.230.10
ip route add check-gateway=ping distance=6 gateway=8.8.4.4
ip route add distance=1 dst-address=8.8.4.4/32 gateway=Gateway_Secondary_ISP scope=10
ip route add distance=1 dst-address=192.203.230.10/32 gateway=Gateway_Primary_ISP scope=10
да вот только на этом CCR-1036 заработало это не так как надо, а именно: оба интерфейса доступны извне (хотя по идее должен быть доступен только интерфейс Primary). Это порождает проблему связанную с тем, что при включении микротика в каком-нибудь офисе (они же клиенты VPN), если поднимется первым туннель к secondary-ISP, то связь не работает, хотя туннель живой (на 1036 я отметил галку Only one в настройках OpenVPN), его конечно дёрнешь вручную и заводится туннель к primary-ISP и всё нормально, но вручную дёргать - это не вариант.
Коллеги, подскажите в чём может быть проблема, из-за чего классическая схема failover на CCR-1036 не отрабатывает как на всех остальных, может кто сталкивался?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Failover с двумя ISP на микротик CCR 1036

Сообщение Chupaka »

Оба интерфейса доступны, подозреваю, потому, что первый провайдер не фильтрует src-address пакетов от пользователя и разрешает уходить наружу пакетам с адресами второго провайдера.

А почему тоннель поднимается, но не работает - вам и предстоит выяснить, я навскидку предпосылок к этому не вижу.
Дмитрий
Сообщения: 14
Зарегистрирован: 15 фев 2018, 13:06

Re: Failover с двумя ISP на микротик CCR 1036

Сообщение Дмитрий »

Вы знаете, проблему с туннелем похоже решил. Как оказалось, проблема был а в том, что роутер (VPN-клиент) на втором туннеле не проходил аутентификацию как OSPF-сосед (не сменили пароль в Routing->OSPF->Interfaces на интерфейсе второго туннеля) - человеческий фактор так сказать.
А за фильтрацию src-address у провайдера я узнаю, отпишусь!
Спасибо, вы мне уже второй раз помогаете!
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Failover с двумя ISP на микротик CCR 1036

Сообщение Chupaka »

Всегда рад помочь =)