"2. Настаивать IPsec вручную без автонастойки l2tp и gre" - поднимаю GRE туннель, потом создаю руками профили, политики и пиры в ipsec, шифрование устанавливается, падает и все туннели и VPN сервера между двумя микротиками падают, причем и WireGuard падает и sstp, и не могут подняться пока ipsec пиры не потушить которые на gre пир настроены, сейчас отключил на клиенте сервер L2TP и поднял сессию GRE over IPsec, без проблем всё работает, то есть на лицо конфликт динамически созданного профиля от L2TP сервера и в ручную мной созданного профиля для GRE
bassoon48, не вижу проблемы, вы по WireGuard выжмите 200-300мбит, но есть аппаратное шифрование, GRE + IPsec, думаю в связке между CCR2004-16G-2S+ и RB5009UPr+S+IN должен выдавать 500-600 мбит
По вашему ответу я начинаю понимать, что главный сертификатом является CA, и я не должен был его распространять на клиенты, мне нужно было его хранить и им подписывать другие сертификаты для клиентов)
Тоже про это подумал, но не помогло, и пароль не менял у текущего пользователя, и ещё создал нового пользователя, старого стёр, зашёл под новым и всё тоже самое
Юрий MikroTik, поднял l2tp туннель, и завернул его в ipsec в транспортном режиме, при этом скорость в таком виде достигает целых 850Mb/s, не верится если честно, как мне точно убедиться в том, что теперь данные в туннеле шифруются, а не идут не зашифрованные пакеты ?
Юрий MikroTik, в IP-IPsec создан peer между двумя условно белыми адресами, в тесте используются приватные адреса, и поднят BGP в котором также прописаны условно белые адреса и адрес листе указана подсеть бриджа которая должна транслироваться, а также подсеть второго роутера, чтоб отправлять ответ
Юрий MikroTik, первое устройство - клиент с сетью 172.16.100.0/24, второе устройство сервер для первого устройства и клиент к третьему с сетью 172.16.0.0/24 - между первым и вторым устройством чистый IPsec + BGP, третье устройство это сервер для второго устройства и клиент к 100-ста другим, между вторым и третьим L2TP + OSPF, маршрут 172.16.100.0/24 появился на третьем устройстве, но пакеты до первого не идут, со второго на первый идут, в чем может быть проблема, галочка BGP редистрибьюция стоит на втором устройстве, на первом в адрес лист добавлена сеть второго устройства
Юрий MikroTik, данную настройку только на двух соседах настраивать или с которого передавать будем BGP в OSPF ? и ставить connected и static ведь не обязательно, только галочку BGP ? я просто поставил, но icmp запросы на маршрут не идут
" еще в 7% случаев достаточно разнесение серверных по соседним зданиям" - вот именно об этих 7-ми процентах я и говорил, про то как сделать кластеризацию в одном физическом помещении я вопросами не задаюсь, а вот разнесения двух серверных в разные здания, это именно то, что нужно, мне ведь нужно чтоб локальные подсети были идентичны и в одной и другой серверной, просто задача как в таком случае будет перестраиваться сеть, если все филиалы подключены к одному белому IP и при его падении нужно перестроиться на другую, я это вижу только в ручную или по скрипту переписывать dns запись
