Задать вопрос
@nApoBo3

Как узнать через какой интерфейс прошел ipsec трафик после его разинкапсуляции для реализации qos в mikrotik?

Есть два маршрутизатора mikrotik, у каждого из них два wan интерфейса, каждый wan интерфейс подключен к своему провайдеру и имеет свое ограничение скорости.
Между mirtoik настроен ipSec туннель( в туннельном режиме ) без привязки к конкретному интерфейсу( т.е. ipSec будет шифровать трафик вне зависимости от того через какой интерфейс он пойдет, главное, что он дойдет до целевого узла по любому доступному маршруту ).
Это удобно тем, что между двумя маршрутизаторами только одни туннель и он будет работать при отказе провайдера, просто перестроиться через другой интерфейс. Таким образом не нужно поднимать ipSec на каждом интерфейсе и иметь на всех интерфейсах статические адреса.
Внутри ipSec ходит IPIP туннель, в который направляется весь трафик который нужно передать между двумя сетями.
wan interface - wan ip address - ipsec bridege inteface - ipsec ip address - ipip interface - ipip ip adress
Вот примерно такая схема.( wan интерфейса два ).
Нужно настроить QOS, если бы wan интерфейсы имели одинаковую скорость это не было бы проблемой.
Но wan интерфейсы имеют разную скорость, а следовательно трафик проходящий через каждый из них нужно разметить по разному и поместить в разные очереди. Сам ipSec трафик разметить не проблема, он получает метку по интерфейсу через который он прошел. Но нужно разметить трафик внутри ipSec( внутри IPIP ).
Например sip трафик который разникапсулированный из ipSec трафика полученного через wan1, должен получить одну метку, а такой же трафик полученный из ipSec трафика полученного через wan2 другую метку.

Возможно ли это реализовать?
Как пример, вешать метку на пришедший ipSec пакет, которая сохранится на IPIP пакете, которая сохраниться на уже просто IP пакете. Но насколько я понимаю при этих преобразованиях метка не сохраняется.
  • Вопрос задан
  • 508 просмотров
Подписаться 2 Сложный Комментировать
Пригласить эксперта
Ответы на вопрос 2
karabanov
@karabanov
Системный администратор
В целом это возможно.
Вот схемы прохождения траффика (про IPsec в самом низу) https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Вот пример настройки QoS внутри туннеля https://www.youtube.com/watch?v=sm7QGWl7Xh8

Полагаю необходимо сделать два набора правил, для двух интерфейсов. Траффик будут аффектить только те правила которые относятся к активному в данный момент интефейсу.
Ответ написан
@Fedyun4ik
Между mirtoik настроен ipSec туннель( в туннельном режиме ) без привязки к конкретному интерфейсу( т.е. ipSec будет шифровать трафик вне зависимости от того через какой интерфейс он пойдет, главное, что он дойдет до целевого узла по любому доступному маршруту ).
Это удобно тем, что между двумя маршрутизаторами только одни туннель и он будет работать при отказе провайдера, просто перестроиться через другой интерфейс. Таким образом не нужно поднимать ipSec на каждом интерфейсе и иметь на всех интерфейсах статические адреса.


Вопрос - каким образом вы так сделали? Там же в Peers указываются IP адреса точек соединения.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы