L2tp+ipsec тунель между mikrotik-mikrotik, как его подружить с Fasttrack connection?

Question

[Konstantin]

Имеем работающий канал L2tp+ipsec между 2мя (5!) микротиками. При настройке Fasttrack connection, по мануалам в интернете, доступ в интернет есть , но трафик перестает бегать по тонелю. По ощущениям просто ломается rout list микротика , и весь трафик который должен заворачиваться в тунель - улитает в интернет.
Пробовал исключать трафик ipsec правилами mangle и в настройках Fasttrack connection ставить !ipsec - не помогает.
Уперся в 100% CPU , а менять железку пока нецелесообразно .
Подскажите какие данные дать для возможности решения вопроса?

Answer 1

[Александр Карабанов]

Да. Fasttrack пускает трафик мимо фаирвола и трафик не попадает под IPsec.
В вашем случае необходимо изменить правило FastTrack так, что бы оно не затрагивало трафик который должен попадать под IPsec.

CPU загружен на 100% из-за того, что моного ресурсов тратится на шифрование. FastTrack эту проблему не решит. Вам нужна железка с поддержкой аппаратного шифрования.

Comments

[Konstantin]

ok, где изменить правило что бы перестало трогать ipsec ?
/ip firewall mangle add action=mark-connection chain=output comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
/ip firewall mangle add action=mark-connection chain=input comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec

/ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related

Такие операции проделывал, не помогло.

[Konstantin]

poisons, Прошу тыкните меня носом куда копать ? в каких настройки еще ковырять ?

[Александр Карабанов]

Konstantin, исключите те IP которые должны попадать под IPsec. В вашем случае, я так понимаю те IP на которых терминируется (оканчивается) L2TP туннель. Но опять же нагрузку с CPU это не снимет, просто туннель будет работать.

[Konstantin]

Александр Карабанов, Понял, буду пробовать. Спасибо