Как организовать высокую доступность l2tp моста

[konsul]

Привет всем. Есть задача: цетральный офис и удалённые филиалы. Между офисом и филиалом настроены мосты. Сейчас на центральном офисе появился второй интернет. Получается 2 интернета на одном микротике (2 белых ip). Сейчас можно поднимать мосты с обоих провайдеров одновременно.
Возникла мысль: можно ли как то сделать чтобы если в центральном офисе пропадает один интернет, филиалы переключались на второй интернет канал центрального офиса самостоятельно? на удалённых филиалах сейчас адресом l2tp моста указан адрес одного из каналов центрального офиса. Соответственно чтобы переключить мост на другой интернет нужно залезть на микрот филиала и изменить адрес сервера.

Пока единственный вариант который вижу: зарегистрировать домен, привязать к домену ip адрес одного из интернет каналов и прописывать на микротах в филиалах не ip а имя домена. И если один из каналов интернета падает в днсах домена менять ip адрес на адрес другого провайдера.
Но логично понимаю обновление днс проходит тоже не быстро и каое-то время до 2 часов филиалы будут без моста это раз, не знаю можно ли в микроте указывать имя домена вместо ip адреса l2tp моста.

Вопрос: есть ли какое-то более изящное решение, чем лазить по микротикам на филиалах и менять адреса или ждать пока обновятся днсы?

[Chupaka]

А просто поднять два клиента, на оба адреса? Там прямо бридж, второго уровня? Тогда играться с bridge horizon, чтобы петлю не создать.

[konsul]

А просто поднять два клиента, на оба адреса? Там прямо бридж, второго уровня? Тогда играться с bridge horizon, чтобы петлю не создать.

А так можно? поднять второй мост? Вроде с 1 ip два L2tp не поднимаются. Вопрос тогда с маршрутизацией. Как и что будет ходить

[Chupaka]

с 1 ip

С одного айпи? С одним айпи? Раскройте мысль

А так можно? поднять второй мост? <...> Вопрос тогда с маршрутизацией. Как и что будет ходить

Вот я ж и спросил про мост. Мост - второй уровень, маршрутизация - третий. Как и что у вас настроено?

[konsul]

На удалённом офисе 1 микротик с прописанным l2tp адресом центрального офиса. Я же не смогу поднять на нём второе соединение на адрес второго интернета в центральном офисе. Я говорю про то что нельзя с 1 ip адреса удалённого офиса нельзя поднять одновременно 2 соединения на разные адреса центрального офиса

[Chupaka]

А почему нельзя?.. Какая ошибка где выскакивает? С точки зрения роутера удалённого офиса это два независимых подключения к двум разным серверам.

[konsul]

Вопрос: промаркировал пакеты на обоих провайдерах через mangle, добавил правило в роуты для второго првайдера. Теперь возникла ситуация: если мост или l2tp клиент подключается через второго провайдера, то ip адрес всё равно получает от первого провайдера. А так же если вручную перенаправить клиентский компьютер через второго провайдера через правило mangle перестают пинговаться адреса за vpn мостами. Чувствую где то в роутах нужно прописать правило но какое не могу понять

[Chupaka]

если мост или l2tp клиент подключается через второго провайдера, то ip адрес всё равно получает от первого провайдера

Раскройте мысль. Кто получает IP-адрес от первого провайдера?..

А так же если вручную перенаправить клиентский компьютер через второго провайдера через правило mangle перестают пинговаться адреса за vpn мостами. Чувствую где то в роутах нужно прописать правило но какое не могу понять

Попробуйте трассировку сделать, может, она подскажет.

А на чём-нибудь попроще, типа Wireguard, не получится тоннели поднять? Тут подумалось, у L2TP может IPSec как-нибудь нехорошо влиять...

[konsul]

Есть микротик на котором настроен l2tp сервер. К нему подключены 2 провайдера (провайдер А и провайдер Б) с белыми ip. Если мы подключается на ip адрес провайдера Б На подключённом клиенте видим что получили ip адрес не провайдера Б Как должно быть а ip адрес провайдера А

[Chupaka]

Я всё ещё не понимаю. Можно с примерами? L2TP вообще не должен получать никаких адресов от провайдера, только от микротика...

[konsul]

Хорошо. Пример: сижу дома, нужно подключиться к рабочей сети. Настраиваю на домашнем компе соединение vpn с рабочим микротиком. Рабочий микротик имеет два внешних ip. В качестве адреса сервера прописываю адрес провайдера Б. Подключился к рабочей сети. Смотрю какой ip адрес получил мой домашний комп. Вместо ip адреса провайдера Б к которому я подключился мой домашний комп получил ip адрес провайдера А рабочего микротика

[Chupaka]

О боги, вы имеете в виду, что вы весь клиентский трафик пускаете через VPN, и когда открываете сайт, определяющий ваш IP, то видите IP-адрес провайдера А?.. Это вполне естественно, потому как VPN-клиент для роутера - это VPN-клиент, независимо от того, к какому адресу он подключился. А зачем вам таким странным образом это проверять?

[konsul]

О боги, вы имеете в виду, что вы весь клиентский трафик пускаете через VPN, и когда открываете сайт, определяющий ваш IP, то видите IP-адрес провайдера А?.. Это вполне естественно, потому как VPN-клиент для роутера - это VPN-клиент, независимо от того, к какому адресу он подключился. А зачем вам таким странным образом это проверять?

На весь клиентский трафик. А строго трафик ВПН. Вопрос в том почему машина подключаясь к серверу ВПН через провайдера Б получает ip провайдера А.
Почему проверял? Потому что есть ресурсы к которым можно подключиться строго с определенного ip. И вот я из дома подключаюсь к ВПН серверу, думая что моя машина получила ip адрес провайдера Б и меня туда не пускает. И оказывается что сижу я в интернете с другим ip.
Вопрос как сделать так чтобы подключаясь через ВПН я получал нужный мне ip

[Chupaka]

Трафик ВПН вы не пускаете через VPN Вы пускаете именно весь клиентский трафик (вряд ли у вас есть ресурсы, к которым вы ходите напрямую через своего провайдера при подключенном L2TP).

Вопрос в том почему машина подключаясь к серверу ВПН через провайдера Б получает ip провайдера А.

Короткий ответ - потому что у вас так настроено На роутере приоритетный маршрут по умолчанию через провайдера А, вот роутер и отправляет трафик, полученный от VPN-клиента, через провайдера А. Если что, маркировка трафика самого VPN-тоннеля (зашифрованных пакетов между клиентом и роутером) не имеет никакого отношения к маркировке трафика внутри тоннеля (когда браузер лезет на Ютуб котиков искать).

Вопрос как сделать так чтобы подключаясь через ВПН я получал нужный мне ip

Ну, первое, что приходит на ум - направить трафик (создать нужные маршруты) к нужному вам ресурсу через провайдера Б, раз он всё равно через провайдера А недоступен Либо как-то разделить клиентов (по имени пользователя при подключении, например), и одних направлять через А, других - через Б (это уже Policy Routing). Простора для творчества хватает, особенно пока задача е сформулирована чётко.