Как на Mikrotik RB750GL организовать прозрачно резервный канал VPN PPTP с привязкой к нему одного ethernet порта ?

Question

[netraven]

Роутер имеет отдельный канал интернет и с основной сетью не связан. Нужно создать резервный канал через VPN подключение на центральный офис для подсети вида 192.168.2.0/24 прозрачно. Если выходит из строя основной канал связи или основной маршрутизатор , то переключаем физически линк на выделенный порт RB750GL и временно получаем доступ в сеть центрального офиса .
Я отделил один порт "ether5-C24-local" и дал ему адрес , совпадающий с адресом текущего шлюза этой подсети (192.168.2.254 ), а также создал интерфейс VPN клиента "pptp-G1". Адреса в подсети заданы статически, поднимать DHCP не требуется. Маскарадинг , видимо, надо добавить для"pptp-G1" интерфейса ? Остается правильно направить трафик с порта и обратно с помощью маркировки. Как правильно написать правила в Mangle и обеспечить хождение трафика между "ether5-C24-local" и "pptp-G1"?

Answer 1

[Клёвый Админ]

Такс, я не очень понял ту часть где вы описываете ваши настройки туннеля, но если всё правильно и на том конце вам доступна сеть и PC в ней, то всё что вам нужно это создать второй маршрут до сети вашего офиса с указанием в качестве шлюза адрес туннеля со стороны удалённого офиса. Присвоить маршруту метрику выше чем у текущего правила маршрутизирующего этот трафик. При падении канала трафик пойдёт в офис автоматически (если упал линк) или можно создать NetWatch исполнителя, запускающий скрипт смены метрики при появлении \ пропадании сети.

Никакого переключения проводов в этом случае не нужно, ровно как и маскарадинга.

Итого если на пальцах:
Есть два интернет канала 1 - основной и в нём есть сеть офиса 2 - резервный и через него поднят PPTP туннель.
Нужно создать маршрут до PPTP сервера через шлюз второго провайдера, создать маршрут до сети офиса через шлюз первого провайдера (метрика, скажем, 10), создать маршрут до сети офиса через туннель - шлюз адрес сервера туннеля (метрика, скажем, 20). При падении канала меняем метрики местами, следим чтобы туннель установился только через второй канал иначе не очень это правильно =)

Comments

[netraven]

У этого mikrotik вообще своя функция и СКС , а местный офис сидит в другой СКС и подключается к центральному офису через отдельное устройство CISCO (L2 канал c IPSEC) . Поэтому и требуется физическое переключение линка . Замещаем шлюз на время разборок с каналом L2. При сохранении основной функции , роутер должен начать маршрутизировать подсеть (192.168.2.0) на выделенном порту ( "ether5-C24-local" ) и транслировать пакеты через VPN интерфейс только для этого порта. Поэтому и возник вопрос , как правильно написать правила для направления трафика из локального порта в VPN канал.

[Клёвый Админ]

@netraven задача странная, но.

В общем виде вам необходимо промаркировать пакеты в мангле в прероутинге для IN интерфейса локальной сети, и присвоить им Новую Метку Маршрута (Route Mark), после этого создать в таблице маршрутизации маршрут для сети 0.0.0.0/0 где шлюзом будет туннель VPN и метка маршрута равна той что выше.

[netraven]

@ifaustrue , то есть всего одно правило в Mangle и один новый маршрут ? В похожем вопросе о пробросе конкретного ethernet порта через VPN Вы упоминали два правила mangle . Первое для маркировки, второе для назначения отдельной таблицы маршрутизации на помеченные пакеты. Кстати, там же было отдельно выделено включение passthrough при назначении метки на закладке Action. Это в моем случае не нужно ? Идея то мне понятна, а вот с "правописанием" правил проблема некоторая. Спасибо за помощь!

[Клёвый Админ]

@netraven всё зависит от направления трафика и его сути. В самом простом случае хватает маркировки роутинга, но точнее - нужно проверить.

[netraven]

Основной трафик пойдет из центра в магазин. Суть трафика- работа с терминальными приложениями и почтой Exchange и инет через прокси центрального офиса. То есть ,обмен с рядом серверов центрального офиса. На всякий случай , подскажите. как правильно составить правило назначения отдельной таблицы маршрутизации?

[Клёвый Админ]

@netraven для начала просто в ветке прероутинга мангла делаете на входищий нужный порт маркировку роутинга. Потом в таблице маршрутизации делаете маршурт до сетей 0.0.0.0/0 с этой же меткой и проверяете.