Можно ли задать сразу два ВПН-сервера в роутере?

[Инквизитор]

Всем ку! Имею любопытный вопрос.

 

Дано:

* роутер Mikrotik RB931-2nD, RouterOS v6.47.2

* ВПН-сервер А, L2TP, IP-логин-пароль

* ВПН-сервер Б, L2TP + IPsec, IP-логин-пароль-key

 

Что у меня сделано:

* добавлены интерфейсы типа L2TP Client (2 штуки, интерфейс А1 на сервер А и Б1 на сервер Б)

* добавлены interface list'ы типа WAN (2 штуки, А2 на интерфейс А1 и Б2 на интерфейс Б1)

Когда мне нужен ВПН-сервер А, я задействую интерфейс А1 и соответствующий ему interface list А2, и дизаблю Б1 и Б2. Когда ВПН-сервер А дает дуба, я лезу в админку и переключаюсь на Б1/Б2 чтобы законнектиться на сервер Б.

 

Что я хочу сделать:

Роутер по умолчанию коннектится к ВПН-серверу А. Когда сервер А дает дуба (а это случается чуть ли не по расписанию), роутер САМ переключается на ВПН-сервер Б и я не замечаю пропадания сети. Когда сервер А воскресает, роутер переключается обратно.

 

Почему я хочу это сделать:

ВПН-сервер А периодически отрубается, но когда работает, скорость на нем нормальная. А ВПН-сервер Б задействуется в качестве резервного, но у него скорость втрое ниже.

 

Что желательно еще сделать:

При переключении серверов отсылать уведомление на почту/телеграф/телефон/зум/в мозг.

 

 

Что-то из этого реально сделать? А как?

[Neinsager]

Инквизитор

Ну переключение между VPN'ами должно делаться по аналогии с переключением между двумя аплинками, гугли «mikrotik переключение на резервный канал». У меня нужды давно не было настраивать такое, потому детальными советами из личного опыта не подскажу. С отправкой уведомлений на мыло, как пишут, тоже никаких проблем.

[Dennis]

Если ВПН отрубается полностью (интерфейс в статусе not running) можно поробовать поиграться Default Route Distance

[Инквизитор]

ВПН отрубается полностью

пишет disconnected или Terminated - session closed.

Сервер как таковой при этом вполне себе пингуется

[Dennis]

Инквизитор, ну попробуйте установить Default Route Distance в быстром ВПН в 1, а в медленном 10. Ну и должны стоять галочка Add Default Route

[Инквизитор]

Ну переключение между VPN'ами должно делаться по аналогии с переключением между двумя аплинками, гугли «mikrotik переключение на резервный канал».

Ух... что-то какое-то злобное колдунство там пишут, почитал - чуть не испугался...

[Пэтро]

 

в микротике в роутах можно указывать несколько направлений.

 

укажи сразу 2 и проверь. там есть галочка вниз справа чтобы добавить строчку.

[Dennis]

Пэтро,в случае двух Gateway-ев в роуте недоступный будет отваливаться и активным будет следующий?

[Пэтро]

Пэтро,в случае двух Gateway-ев в роуте недоступный будет отваливаться и активным будет следующий?

 

 

вроде да.

там оно вроде даже нагрузку распределяет.

[markovka]

Если вопрос еще актуален, могу поделиться, как у меня реализовано автоматическое переключение между аплинками ( статика от разных провайдеров) при падении основного с последующим восстановлением.

[Инквизитор]

markovka, актуален, буду признателен.

Гуглеж ничего подходящего не дал, а в том, что парни тут написали, понятны только слова по отдельности =)))

[Dennis]

Инквизитор, вот смотрите на скриншоте, это окно свойств ВПН

В быстром ВПН ставите как на скриншоте, в медленном в поле Default Route Distance введите 10

Смысл в том, что по умолчанию будет выбираться маршрут с меньшим значением Default Route Distance, если ВПН отсоединяется, то и маршрутизация через него приостанавливается

 

Одно "но": такая схема будет работать, если микротик видит, что ВПН отключился. Если ВПН вроде как работает, но через него ничего не открывается, то надо искать более сложные варианты с пингом внешних серверов

[Инквизитор]

то надо искать более сложные варианты с пингом внешних серверов

вот в этом проблема.

сервер, сука, пингуется, но не работает - роутер просто пишет "Terminated - session closed" или "disconnected".

[Dennis]

Инквизитор, если микротик пишет "disconnected", то такая схема должна работать. Хуже, когда пишет, что всё ок, но ничего не работает

[Пэтро]

Гуглеж ничего подходящего не дал, а в том, что парни тут написали, понятны только слова по отдельности =)))

 

 

ты мой рецепт пробовал?

[Инквизитор]

ты мой рецепт пробовал?

Я ж и говорю - слова вроде бы понятные, но вот что именно ты написал? =)))

 

У меня какие-то другие микротики. Выглядит по-другому, хотя, возможно, там не одно место, где это прописывается:

 

В общем, у меня роутов там УЖЕ есть шесть штук:

 

нужные мне интерфейсы:

 

и список:

 

И что с этим делать?

 

пока я задизаблил один из интерфейсов и сижу на другом...

[Dennis]

Для варианта Пэтро нужно в свойствах соединения убрать галку Add default route и создать роут вручную.

[Пэтро]

Выглядит по-другому, хотя, возможно, там не одно место, где это прописывается:

 

 

ну вот на 1й картинке. справа от "Gateway" есть треугольничек вниз направленный. нажимаешь раз, появляется 1 поле ввода, нажимаешь 2й раз 2е и так далее.

 

 

 

в поле ввода можно ввести адрес шлюза, но можно нажать на "комбобокс" и выбрать просто интерфейс.

[Пэтро]

У меня какие-то другие микротики. Выглядит по-другому, хотя, возможно, там не одно место, где это прописывается:

 

 

я просто использую winbox для настройки.

[Инквизитор]

в поле ввода можно ввести адрес шлюза, но можно нажать на "комбобокс" и выбрать просто интерфейс.

А что за адрес шлюза и где его взять?

 

Если это имеет значение, то этот роутер воткнут в другой (тоже микротик), который раздает ему всё автоматом, а другой роутер воткнут в адаптер оптики от провайдера:

 

[Dennis]

Инквизитор, вводить ничего не надо, надо выбрать интерфейсы, соответствующие вашим впн-ам

[Инквизитор]

Вернусь к теме. Плиз хелп!

 

Проблема:

 

Есть микротик, в котором прописан VPN (L2TP + IPSEC). интернет есть (через еще один роутер). Все работало.

ВПН-сервер, к которому коннектится первый микротик, отвалился. Потом воскрес.

После этого микротик ни в какую не желает коннектиться к ВПН. Я попробовал такое:

• Десять раз ребутил все что только можно
  
• пять раз вырубал из сети тупо
  
• Забэкапил конфиг, заресетил микротик, залил конфиг.
  
• заресетил микротик, прописал все с нуля.
  

после всех манипуляций - хрен по всей морде. Не коннектится, зараза, ни в какую. При этом с теми же параметрами, логином и паролем с мобильника (через wireguard) коннект нормальный.

 

ПЛИЗ ХЕЛП!111 =( вот настройки и лог:

 

 

 

[Пэтро]

Я не очень врубаюсь в ipsec. Он там точно нужен?

[Инквизитор]

Он там точно нужен?

К сожалению, обязателен. Возможности отрубать-менять на сервере нет.

 

Обновил ось микрокотика до 7.2.1, теперь лог выглядит так:

[Инквизитор]

"интуитивно я, конечно, догадываюсь, но" (с) какого чебурека он хочет? через мобильный wireguard пашет, у остальных коллег работает. не знаю какой именно зоопарк впн-подключений у других, но засунуто в микротик это походу только у меня...