Никогда не юзал такое. Вопрос назрел. Как тогда обратный трафик пойдёт? Откуда шлюз 10.0.0.1 знает, что, например, адрес 10.1.1.2/30 в этом же L2, а, например, 10.1.1.5/30 уже нужно маршрутизаторвать куда-то дальше в свой шлюз? Или шлюз при этом свой нат строит, маскарадит?
Смысл есть. Может у него в главном офисе сорм стоит. Или запрет на порно сайты.
Или наоборот... запретные сайты в туннель в амстердам заворачивает мимо российских сорм. Смысл есть. Вот только автор не может простейшую статическую маршрутизацию настроить, а вы ему vpls предлагаете поднять.... задача автора решается либо через жопу, руками прописать маршрутизацию, либо по нормальному поднять ospf. BDR будет шлюзом интернет.
1. Убираете маршруты по умолчанию на обоих провайдерах.
2. Создаете маршрут на 8.8.8.8
Только в качестве gateway указываете адрес шлюза провайдера номер 1. Интерфейс нельзя ставить. Именно ip адрес.
3. По аналогии создаете такой же маршрут, только на 8.8.4.4. В качаестве gateway указываете адрес шлюза провайдера номер 2.
4. Добавляете маршрут 0.0.0.0/0 В качестве gateway указываете 8.8.8.8 и 8.8.4.4 Check gateway ставите ping. Таргет скопе ставите 30.
Все. При падении одного из провайдеров, все будут ходить через другого.
meridian5988, Нагрузка на все ядра размазывается, потому, как нет у вас аппаратной поддержки шифрования ipsec. Посмотрите данную таблицу. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Используйте нужное железо в нужной конфигурации... При аппаратном шифровании ipsec, нагрузка даже на одноядерный проц менее 5%.... Если у вас не CCR конечно...
Да нет, не по этому. Не шифрованный sstp одинаково быстрый(медленный) как другие ptp туннели. Разница в скорости pptp и sstp вообще в пользу sstp. l2tp без ipsec на 5% быстрее sstp. Шифрованный одинаковый, если поддерживается аппаратное шифрование.
Вы же не торренты между офисами качаете. Выигрыш в чем? в 5% в скорости? Или в требовании, чтобы все офисы имели белый IP и GRE?
По мне так 5% в скорости ну его нафиг против того, чтобы все имели белый IP, чтобы GRE поднялся...
А если про ipsec речь идет, то разницы вообще нет.
Из опыта. Смотрите. Где то НАТится трафик или до туннеля или после. Иначе бы была полная слышимость. Wireshark ом смотрите трафик на каждом участке. После sip клиента, до тоннеля, после тоннеля, на астериске.
Еще могут быть маршруты разные, если ospf натянут. Входящие пакеты идут по одному тоннелю, исходящие по другому.
Еще может микротик подменять адрес в пакетах. Если нет ната, то отключите в микротике ip-firewall-service port-sip. А если есть нат, то включите, и проброс правильно делайте.
Чудес не бывает в этом мире.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
В качестве gateway указываете 8.8.8.8 и 8.8.4.4 Check gateway ставите ping. Таргет скопе ставите 30.