Страница 2 из 3

Re: PCC на 3 провайдера

Добавлено: 06 ноя 2019, 09:07
joker
И вот лог по ipsec

И мои маршруты к каждой удалённой точке IPSec-тоннеля

/ip route
add distance=1 gateway=pppoe-out1_ByFly routing-mark=ISP3-WAN3
add distance=1 gateway=82.1.1.125 routing-mark=ISP1-WAN1
add distance=1 gateway=82.2.2.117 routing-mark=ISP2-WAN2
add comment="route for Office 708" distance=1 dst-address=37.3.3.118/32 gateway=pppoe-out1_ByFly
add comment="route for Offece 401" distance=1 dst-address=37.4.4.66/32 gateway=pppoe-out1_ByFly
add comment=IPsec-LOS2-kerio distance=1 dst-address=178.5.5.218/32 gateway=ether1-wan1
add comment=IPsec-Active distance=1 dst-address=193.6.6.183/32 gateway=ether2-wan2


Ни с того, ни с сего тоннель может отвалится и начать обмениваться ключами

Re: PCC на 3 провайдера

Добавлено: 06 ноя 2019, 12:52
Chupaka
Чтобы тоннели IPSec не попадали под policy routing, либо сделайте Accept в Firewall Mangle output для dst-address=адреса серверов, либо что-то вроде

Код: Выделить всё

/ip route rule
add dst-address=37.3.3.118/32 table=main
add dst-address=37.4.4.66/32 table=main
add dst-address=178.5.5.218/32 table=main
add dst-address=193.6.6.183/32 table=main

Re: PCC на 3 провайдера

Добавлено: 06 ноя 2019, 13:21
joker
Оставил мои маршруты к каждой удалённой точке IPSec-тоннеля
/ip route
add distance=1 gateway=pppoe-out1_ByFly routing-mark=ISP3-WAN3
add distance=1 gateway=82.1.1.125 routing-mark=ISP1-WAN1
add distance=1 gateway=82.2.2.117 routing-mark=ISP2-WAN2
add comment="route for Office 708" distance=1 dst-address=37.3.3.118/32 gateway=pppoe-out1_ByFly
add comment="route for Offece 401" distance=1 dst-address=37.4.4.66/32 gateway=pppoe-out1_ByFly
add comment=IPsec-LOS2-kerio distance=1 dst-address=178.5.5.218/32 gateway=ether1-wan1
add comment=IPsec-Active distance=1 dst-address=193.6.6.183/32 gateway=ether2-wan2

Добавил rule по вашей рекомендации
/ip route rule
add dst-address=37.3.3.118/32 table=main
add dst-address=37.4.4.66/32 table=main
add dst-address=178.5.5.218/32 table=main
add dst-address=193.6.6.183/32 table=main

И те тоннели которые работали, перестали работать. Начали переподключаться

Re: PCC на 3 провайдера

Добавлено: 06 ноя 2019, 15:30
Chupaka
На той стороне адреса удалённых сторон тоннелей соответствуют адресам на соответствующих интерфейсах роутера?..

Re: PCC на 3 провайдера

Добавлено: 07 ноя 2019, 10:29
joker
Ну конечно

Re: PCC на 3 провайдера

Добавлено: 09 ноя 2019, 01:08
Chupaka
Ну, я бы теперь брал в руки какой-нибудь Tools -> Packet Sniffer и смотрел, куда уходят и приходят пакеты IPSec...

Re: PCC на 3 провайдера

Добавлено: 13 ноя 2019, 08:26
joker
Добавил в mangle 3 правила на input и вреде как проблема решилась с ipsec
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1-wan1 new-connection-mark=ISP3-WAN1-connection passthrough=yes
add action=mark-connection chain=input in-interface=ether2-wan2 new-connection-mark=ISP3-WAN2-connection passthrough=yes
add action=mark-connection chain=input in-interface=pppoe-out1_ByFly new-connection-mark=ISP3-WAN3-connection passthrough=yes

В итоге mangle получился такой
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1-wan1 new-connection-mark=ISP3-WAN1-connection passthrough=yes
add action=mark-connection chain=input in-interface=ether2-wan2 new-connection-mark=ISP3-WAN2-connection passthrough=yes
add action=mark-connection chain=input in-interface=pppoe-out1_ByFly new-connection-mark=ISP3-WAN3-connection passthrough=yes
add action=mark-connection chain=prerouting comment="Per Connection Classifier" connection-state=new new-connection-mark=ISP3-WAN1-connection passthrough=yes per-connection-classifier=both-addresses-and-ports:3/0
add action=mark-connection chain=prerouting connection-state=new new-connection-mark=ISP3-WAN2-connection passthrough=yes per-connection-classifier=both-addresses-and-ports:3/1
add action=mark-connection chain=prerouting connection-state=new new-connection-mark=ISP3-WAN3-connection passthrough=yes per-connection-classifier=both-addresses-and-ports:3/2
add action=mark-routing chain=prerouting connection-mark=ISP3-WAN1-connection new-routing-mark=ISP1-WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP3-WAN2-connection new-routing-mark=ISP2-WAN2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP3-WAN3-connection new-routing-mark=ISP3-WAN3 passthrough=yes
add action=mark-routing chain=output comment="IPsec Routing Mark" connection-mark=ISP3-WAN1-connection new-routing-mark=ISP1-WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP3-WAN2-connection new-routing-mark=ISP2-WAN2 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP3-WAN3-connection new-routing-mark=ISP3-WAN3 passthrough=yes

Re: PCC на 3 провайдера

Добавлено: 13 ноя 2019, 10:10
joker
Подскажите!
А как теперь побороть частые перелогины (переавторизацию) с внешними приложениям, например на наш имеющийся корпоративный портал, клиент-банки и даже на ваш форум forum.mikrotik.bу ?
Вот так пробовал сделать, добавляя такое правило с внешним адресом, например корпоративного портала: (периодически выбрасывает на страницу авторизации)
Ставил выше всех правил в таблице
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=147.149.224.43 new-connection-mark=my.000000.by passthrough=yes
add action=mark-routing chain=prerouting connection-mark=my.000000.by dst-address=147.149.224.43 new-routing-mark=ISP1-WAN1 passthrough=yes

Вот так ещё делал, привязывая ip портала к шлюзу WAN1, отключая перед этим правила созданные для портала в mangle.
/ip route
add comment="Route portal" distance=1 dst-address=147.149.224.43/32 gateway=82.1.1.125

Re: PCC на 3 провайдера

Добавлено: 13 ноя 2019, 15:58
Chupaka
А вы не хотите просто per-connection-classifier=both-addresses-and-ports сменить на per-connection-classifier=src-address? Если не хотите - то сделайте два набора правил:
1) порты 80/tcp,443/tcp - per-connection-classifier=src-address
2) всё остальное - per-connection-classifier=both-addresses-and-ports

Проблема возникает потому, что несколько соединений даже к одному IP могут пойти через разные каналы.

Re: PCC на 3 провайдера

Добавлено: 13 ноя 2019, 15:59
Chupaka
joker писал(а):
13 ноя 2019, 10:10
Ставил выше всех правил в таблице
joker писал(а):
13 ноя 2019, 10:10
passthrough=yes
Вот второе и мешало первому. Все дальнейшие правила перемаркировывают ваши пакеты.