Как правильно разрулить переключение GRE+IPSec(динамический), при работе 2 mikrotik через vrrp в master и slave режимах?
Добрый день, имеются 2 mikrotik, один выступает в роли master, другой slave, имеются 2 провайдера, на каждом из них по несколько ip, трафик промаркирован для каждого отдельного ip, созданы отдельные маршруты для каждого внешнего ip, прописаны Rule, дабы src.address от каждого внешнего ip провайдера шел по своему маршруту и промаркированный маршруту уходил по этому же промаркированному маршруту, работают по протоколу vrrp, сам vrrp настроен только на LAN интерфейсе, в нем так же прописан простой скрипт, в зависимости от роли маршрутизатора, включаются(master) или отключается(slave) wan, vpn интерфейсы. Но возникает проблема при работе с vpn(GRE+IPSec), как только slave становится master'ом vpn не поднимается, включение и отключение vpn интерфейсов на обоих сторонах не помогает, на другой стороне есть соединения, даже если их удалить дабы создались новые, на случай если они зависли, ничего не происходит. На стороне slave, который стал master в "connections" есть только попытки установить соединение на другую сторону, входящих соединений с той стороны соединений нет, в логах ошибки "phase 1 negotiation failed due to send error ip_master[500]"<=>ip_другая сторона[500]. С другой стороны в "connections", соединения в сторону master есть, но не установленные, в логах ошибки "the packet is retransmitted by IP_MASTER[500]" и "phase 1 negotiation failed due to time up ip[500]<=>ip[500]". Если вернуть работу master. то vpn соединение моментально восстанавливается. Везде стоят прошивки 6.39.3 (bugfix). Может кто то уже сталкивался с подобным?
poisons, Не хотелось бы отходить от темы решая вопрос, как было бы лучше, по простому мы имеем 2 роутера, по сути к которым подключен кабель от 2 провайдеров в каждый, исключим работу vrrp и сделаем настройки зеркалирующие другой роутер, но на запасном роутере эти настройки задисейблены и когда нужно переключиться с одного роутера на другой, на одном все интерфейсы отключаются человеком, а на другом включается(можно и совсем выключать и включать роутеры имея всегда один отключенный, другой включенный), на текущий момент этого человека замещает vrrp со скриптом, как только мы меняем работу на второй роутер vpn перестает работать. Можно конечно настроить vrrp интерфейсы на wan порты и оставить gre интерфейсы рабочими, но хотелось бы отсеживать одно ключевое событие, а это работа lan порта и если с ним проблема менять местами роутеры, да и текущую проблему это не решит.
poisons, не очень понимаю, что можно будет увидеть на схеме, я же вроде все популярно объяснил. Если я настрою vrrp со стороны wan, на бэкап роутере они так же будут недоступны, пока бэкап роутер не поймет, что мастер сломался и станет сам мастером и только потом внешние адреса станут доступны. Я конечно понимаю, что имея от каждого провайдера по 2 внешних адреса, можно распределить их на 2 роутера и настроить активные vpn. но мне это не нужно, да и как быть если забыть, что имеется не 2, а всего 1 внешний адрес. Меня интересует решение текущей проблемы. а не варианты, как можно сделать по другому.
poisons, другая сторона работает в штатном режиме и никаких дополнительных действий не предпринимает, сейчас попробовал произвести данное действие результат тот же.
Обнаружил, что при переключении роутеров со slave=master, имея 2-а внешних ip(100.100.100.1 и 100.100.100.2), на каждом роутере от 2-х провайдеров и настроенным vpn src.address=100.100.100.2, почему то этот адрес становится недоступен из вне, маркировка именно этого внешнего адреса не происходит, счетчики стоят на месте, но адрес 100.100.100.1 маркируется и доступен из вне, при возврате работы master=master, маркировка проходит как надо, но когда slave=master, взять и отключить в ip-address внешний адрес 100.100.100.1 и сразу же включить его обратно, сразу начинается маркироваться адрес 100.100.100.2 и туннели vpn поднимаются, но когда мы возвращаем в работу master=master, история повторяется, пакеты от 100.100.100.2 перестают маркироваться, но при выкл и вкл 100.100.100.1 маркировка работает и vpn поднимается. Временное решение переназначит vpn на адрес 100.100.100.1, но хотелось бы конечно разобраться, как сделать чтобы работало нормально и при переключении slave=master, все было доступно, без каких то доп манипуляций.
poisons, это было бы видно глобально, по отношению к 2-м внешним адреса, были бы проблемы и с первым ip, но тут начинает работать после манипуляций в mikrotik'е.
Средний
Простой
Средний
Простой
Средний
Простой
