У нас с 7 филиалов и дата-центра везде микротик с белым ип и настроен gre over ipsec, что вполне хорошо работает. Но на одном филиале стоит gsm роутер с 2 sim картами и нат, сейчас там поднят open vpn тоннель до дата-центра. Но он не очень стабилен. Хотелось бы перейти на gre over ipsec, но gsm роутер поддерживает, либо gre или ipsec но не gre over ipsec. Какие есть варианты в такой ситуации. Например: установить соединение микротик дц до gsm ipsec и потом как-то смаршрутизировать трафик на микротик . Либо пробросить порты на gsm роутере и потом установить vpn между дц и микротиком филиала с серым ип. Что подскажите?
но есть проблема, тоннель устанавливается с wan (маршрута) по умолчанию, а у нас их 2 wan: 1 это местный провайдер он держит gre over ipsec,а 2 роутер с nat. При падении 1 провайдер vpn рвется и потом поднимается на роутере gsm, так как меняется маршрут по умолчанию. Я так понимаю выход только маркировать и роутингом заворачивать клиентское соединение через gsm роутер?
Или так. Или создавать клиента на другой порт (второй туннель), дальше маркировать в output и в src-nat править порт назад.
Поднял sstp на 4434 порту. В манггл не вижу трафика, след правилом add action=mark-routing chain=output disabled=yes dst-port=4434 log=yes \ new-routing-mark=client passthrough=yes protocol=tcp Подскажите, пожалуйста, что не так?
add action=mark-routing chain=output disabled=no dst-port=4434 log=yes \ new-routing-mark=client passthrough=yes protocol=tcp
Вроде завелось, у меня стояли еще правила маркировки, нужно было это правило поднять выше по приоритету и все арбайтен) Илья, благодарю
Теперь другая проблема, трафик по mangle идет, и если в роутенге поставить роут через gsm и routing mark указать то что в mangle то соединение не устанавливется
add action=mark-connection chain=input in-interface=ether7 new-connection-mark=\ cin_ISP1 passthrough=no add action=mark-connection chain=input in-interface=ether8 new-connection-mark=\ cin_ISP2 passthrough=no add action=mark-routing chain=output disabled=no dst-port=4434 log=yes \ new-routing-mark=client passthrough=yes protocol=tcp add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=\ rout_ISP1 passthrough=no add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=\ rout_ISP2 passthrough=no
/ip route add check-gateway=ping distance=1 gateway=Провайдер1 routing-mark=rout_ISP1 add check-gateway=ping distance=1 gateway=Провайдер2 routing-mark=rout_ISP2 add check-gateway=ping comment="Check ISP2" distance=1 dst-address=8.8.4.4/32 \ gateway=Провайдер2 add check-gateway=ping comment="Check ISP1" distance=1 dst-address=8.8.8.8/32 \ gateway=Провайдер1 add check-gateway=ping comment="Check ISP1" distance=1 dst-address=\ 77.88.8.8/32 gateway=Провайдер1 add check-gateway=ping comment=ISP1 distance=1 gateway=Провайдер1 add comment=ISP2 disabled=yes distance=2 gateway=Провайдер2 add check-gateway=ping distance=1 gateway=Провайдер2 routing-mark=client
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether7 src-address-list=NAT add action=masquerade chain=srcnat out-interface=ether8 src-address-list=NAT
