Mikrotik — резервный VPN ipsec site to site

Автор:   ‡   Дата: 22nd Февраль 2019   ‡   Рубрика: IT   ‡   Метки: ,

Многие уже давно имеют в своем распоряжении более одного провайдера. Но не все роутеры позволяют легко настроить резервирование для vpn канала. К примеру dual wan модели от TP-Link и вовсе не имеют такой опции, а создать два одинаковых по локальным ip туннеля, не позволяет прошивка. Модели от Cisco и Linksys выгодно отличаются легкой настройкой для выбора и wan порта и резервного ip для поднятия в автоматическом режиме резервного vpn, в случае падения основного. Но речь сейчас у нас о бренде Mikrotik, в котором та же проблема: невозможно создать две одинаковых политики ipsec policies, одна из которых будет красной, то есть неактивной.  Да, далеко не легки они в настройке, но возможности использования самые широкие из всех брендов, при доступной цене. Кроме того, покупая даже бюджетный Mikrotik, вы получаете на постоянной основе обновления прошивки, поскольку они выходят сразу для всей линейки оборудования. А не как у TP-Link, когда ребята меняют аппаратную версию устройства на более новую, а про всех кто купил ранее просто забывают, прекращая выпускать обновления.

Рассмотрим схему, для которой опишем примеры настройки для Микротиков. Наиболее распространен вариант, когда с одной из сторон туннеля стоит роутер с двумя провайдерами интернета:

схема резервного vpn канала

Впрочем, если у кого по два провайдера с двух сторон, то описанные ниже настройки также возможно будет использовать, но уже в разных вариациях и с доработками по аналогии с приведенной схемой. Исходим из того, что роутеры уже настроены и работают. Если кому необходимо донастроить второй wan порт под второго провайдера, то вот ссылка на статью: настройка dual wan на Mikrotik. 

Как известно, для реализации одной и той же задачи в микротиках возможно иметь более одного варианта. Первый из них мы затронем поверхностно, поскольку он уже частично описан в wiki. Суть его заключается в создании любого количества GRE ipsec туннелей, присвоения им виртуальных ip адресов и добавления маршрутов через эти адреса с разными значениями параметра  distance. Вариант вполне рабочий, особенно когда с обеих сторон по два wan порта. Недостаток в том, что это не чистый ipsec и невозможно использовать сертификаты для аутентификации. В ipsec peers появится динамический пир с красной надписью про небезопасность использования PSK. Если вас это не смущает, можно выбирать этот вариант, он надежней в плане переключения маршрутов. Касательно риска использования PSK, могу сказать следующее: он не безопасен когда подключаются удаленные клиенты, с разными операционными системами, особенно Windows, который не хранит эту фразу должными образом, в отличие от сертификатов. В нашем случае, когда два роутера, и сама фраза это набор символов достаточной длины, вполне допустимо использовать PSK и периодически его менять. Но кому важнее безопасность то переходим ко второму варианту настройки, который чистый ipsec.

Настройка офиса 2. Добавляем одного пира, обращаю внимание, что ipsec policies с этой стороны создавать не будем, она будет генерироваться динамически:

скриншот ipsec peer office2

Заходим в ipsec peer profile и меняем значение DPD Interval со 120 секунд на 30:

скриншот ipsec peer profile

 

Настройка офиса 1. Добавляем два пира с ip адресами 192.168.10.1 и 192.168.15.1 соответственно:

скриншот ipsec peer office1

Также заходим в ipsec peer profile и меняем значение DPD Interval со 120 секунд на 30. Далее создаем две ipsec policies с одинаковыми локальными ip, и разными внешними соответствующими вашим адресам wan портов офиса 2. Одну комментируем как main, вторую как backup, последнюю - отключаем:

скриншот ipsec policies office1

Настройка переключения. Переключение будем делать только со стороны первого офиса, поскольку в нем пиры статические, а во втором - динамические. Идем в tools netwatch , где создаем два мониторинга наших внешних ip адресов второго офиса. В нашем примере это 192.168.10.1 и 192.168.15.1. Во избежание одновременного срабатывания, указываем разные интервалы: например 30 и 60 секунд. Также увеличиваем время реакции timeout до примерно 50 секунд. И прописываем в обоих только down-script.

Код для 192.168.10.1 :

/ip ipsec policy set [find comment="main"] disabled=yes
/ip ipsec policy set [find comment="backup"] disabled=no

Код для 192.168.15.1:

/ip ipsec policy set [find comment="backup"] disabled=yes
/ip ipsec policy set [find comment="main"] disabled=no

Опытным путем замечено, что переключение может занимать до 2 минут, что я считаю вполне приемлемым, поскольку необходимо время на удаление старых SAs, пытаться сделать быстрее не стоит, но если есть желание то экспериментируйте, оставляйте комментарии и вопросы.

Кому необходима удаленная настройка - стучите в телеграм или на почту.



Написать комментарий