Всем привет!
Столкнулся с очень странной проблемой на микротике CCR-1036.
Вкратце:
У нас в ДЦ стоит микротик 1036, а него заходит 2 провайдера, надо чтобы один был основным, второй резервным. На этот микротик подключаются по OpenVPN несколько офисов и получают доступ к ресурсам за ним (в серой сети). Казалось бы, задача простая. Я уже много раз такое делал.
Настроил я на нём рекурсивно 2 маршрута с разной метрикой, в стиле:
ip route add check-gateway=ping distance=4 gateway=192.203.230.10
ip route add check-gateway=ping distance=6 gateway=8.8.4.4
ip route add distance=1 dst-address=8.8.4.4/32 gateway=Gateway_Secondary_ISP scope=10
ip route add distance=1 dst-address=192.203.230.10/32 gateway=Gateway_Primary_ISP scope=10
да вот только на этом CCR-1036 заработало это не так как надо, а именно: оба интерфейса доступны извне (хотя по идее должен быть доступен только интерфейс Primary). Это порождает проблему связанную с тем, что при включении микротика в каком-нибудь офисе (они же клиенты VPN), если поднимется первым туннель к secondary-ISP, то связь не работает, хотя туннель живой (на 1036 я отметил галку Only one в настройках OpenVPN), его конечно дёрнешь вручную и заводится туннель к primary-ISP и всё нормально, но вручную дёргать - это не вариант.
Коллеги, подскажите в чём может быть проблема, из-за чего классическая схема failover на CCR-1036 не отрабатывает как на всех остальных, может кто сталкивался?
Failover с двумя ISP на микротик CCR 1036
-
- Сообщения: 14
- Зарегистрирован: 15 фев 2018, 13:06
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Failover с двумя ISP на микротик CCR 1036
Оба интерфейса доступны, подозреваю, потому, что первый провайдер не фильтрует src-address пакетов от пользователя и разрешает уходить наружу пакетам с адресами второго провайдера.
А почему тоннель поднимается, но не работает - вам и предстоит выяснить, я навскидку предпосылок к этому не вижу.
А почему тоннель поднимается, но не работает - вам и предстоит выяснить, я навскидку предпосылок к этому не вижу.
-
- Сообщения: 14
- Зарегистрирован: 15 фев 2018, 13:06
Re: Failover с двумя ISP на микротик CCR 1036
Вы знаете, проблему с туннелем похоже решил. Как оказалось, проблема был а в том, что роутер (VPN-клиент) на втором туннеле не проходил аутентификацию как OSPF-сосед (не сменили пароль в Routing->OSPF->Interfaces на интерфейсе второго туннеля) - человеческий фактор так сказать.
А за фильтрацию src-address у провайдера я узнаю, отпишусь!
Спасибо, вы мне уже второй раз помогаете!
А за фильтрацию src-address у провайдера я узнаю, отпишусь!
Спасибо, вы мне уже второй раз помогаете!
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Failover с двумя ISP на микротик CCR 1036
Всегда рад помочь =)