Добрый вечер! Есть микротик CCR1016-12G с уже обновленной (до обновления 6.44) прошивкой 6.46.4. Провайдер выдает пул адресов. Изначально один из адресов провайдера был назначен микротику как основной для построения gre+ipsec, некоторые адреса были назначены (на тот же интерфейс) для публикации некоторых сервисов. GRE+IPSEC работали устойчиво около года, то есть до перезагрузки микротика, после перезагрузки было обнаружено что на некоторые клиенты (где-то микротик, где-то линукс) от этого микротика запрос для обмена ipsec поступает не от основного адреса микротика, а почему-то от младшего адреса в пуле, который выдает провайдер, соответственно и не работает gre. Возникает вопрос, почему микротик себя так ведет, когда в настройках gre-туннелей явно указан адрес от которого его строить, может с прошивкой что-то не то или какая-то другая проблема. Так же хотелось бы узнать каким образом можно промаркировать трафик(получается самого микротика), в данном случае наверное gre и ipsec, с определенного адреса, который бы указал я. Микротик находится на очень важном направлении и возможности заменить его пока не представляется.
Дайте конфиг. Пароли и ключи IPSec не нужны. Если что замените первый 2 байта во внешних адресах на 1.1.
конфиг подправил, многое удалил, но суть осталась. так вот гре и айписек должно инициироваться с адреса 1.1.222.234 и он сейчас светится в качестве pref-src коннектед маршрута и вся эта кухня работает, но как только микротик перегрузить, pref-src становится 1.1.222.229 (младший адрес в подсети, возможно просто совпадение) и работа ответной стороны в плане гре и айписек работает не предсказуемо, то есть где-то нормально, а где-то запросы, в частности аписек от этого микротика приходят, уже с новым адресом pref-src. то есть немного костыльно было сделано, адрес 1.1.222.229 отключили, микротик перегрузили, получили pref-src в коннектед маршруте 1.1.222.234 и затем обратно включили 1.1.222.229, и все работает устойчиво, до следующей перезагрузки...
ОК. Пробуем Код: /ip firrewall raw add chain=output src-address=1.1.222.234 dst-address=4.4.131.160 action=no-track add chain=prerouting src-address=4.4.131.160 dst-address=1.1.222.234 action=no-track Для второго туннеля аналогично
не строится туннель и айписек. я сейчас пробую это на другом микротике, тоже с несколькими айпи, чтобы не трогать основной