Как поднять несколько l2tp/ipsec туннелей через разные каналы связи?

Question

[l0ser140]

Есть 2 маршрутизатора: vpn шлюз и клиентский.

Клиентскому маршрутизатору доступны N каналов связи.
Некоторые из них за NAT, возможно и все, поэтому нужно решение пробивающее NAT.
Настроен PBR, можно завернуть трафик в нужный канал посредством меток.

Как завернуть l2tp/ipsec туннели в разные каналы? Не понимаю на основе чего можно маркеровать соединения.

Какие могут быть варианты?

Answer 1

[athacker]

Не очень понятно, чего конкретно вы хотите достичь. Чтобы трафик до определённых IP выходил через разные аплинк-интерфейсы клиентского роутера? На так маркируйте L2TP-трафик на основании DST IP, в чём проблема?

Comments

[l0ser140]

Чтобы туннели до одного адреса шли через разные интерфейсы.

[athacker]

l0ser140, тогда что вам мешает строить L2TP туннель с исходящих IP соответствующих каналов?

[l0ser140]

Отсутствие явного наличия такой опции в миротике.

[athacker]

l0ser140, после беглого изучения документации я там такой опции не нашёл вообще. Так что возможно, на микротике такое сделать не удастся.

Answer 2

[d-stream]

Дык в чем именно проблема?
l2tp/IPsec в общем-то умеют через NAT ходить, а каким путем они пойдут - это PBR укажет. Главное не забыть про тропинку назад.

Comments

[l0ser140]

На основании чего разделять трафик, если оба туннеля подключаются к одному и тому же ip?

[d-stream]

l0ser140, На основании Policy Based Rules. То бишь грубо метрики маршрутов по каким-либо условиям (доступность выходного интерфейса, его загрузка, статистика, расписание, рандом) меняются и соответственно туннель "прокапывается" разными путями.

Answer 3

[nikolayvaganov]

Чтобы сервер отвечал через несколько аплинков, нужна для каждого аплинка своя таблица маршрутизации.

eth0 — 1.1.1.2/24 gw 1.1.1.1
eth1 — 2.2.2.2/24 gw 2.2.2.1

ip route add default via 1.1.1.1 table 101
ip route add default via 2.2.2.1 table 102
ip rule add from 1.1.1.2 table 101
ip rule add from 2.2.2.2 table 102

Answer 4

[Кирилл Васильев]

Элементарно,
Вот с чистым l2tp будут проблемы, так как порты явно вбиты в стандарт

делаем так
поднимаем между узлами два ipsec, в пирах можно указать src адрес, указываем свои внешние адреса, они и будут являтся отправной точкой для определения выбора маршрута.

далее на узлах поднимаем лупбек интерфейсы на первом маршрутизаторе
10.255.1.1/32 и 10.255.1.2/32
на второй маршрутизаторе 10.255.2.1/32 и 10.255.2.2/32
далее
в ipsec policy добавляем что между 10.255.1.1/32 и 10.255.2.1/32 идёт через пира первого провадйера
10.255.1.2/32 и 10.255.2.2/32 идёт через пира второго провадйера
создаём два маршрута
до 10.255.2.2/32 где pref-source указываем 10.255.1.2 и
до 10.255.2.1/32 где pref-source указываем 10.255.1.1

после чего поднимаем обычный l2tp до узлов 10.255.2.2 и 10.255.1.2