Sziasztok!
Lerajzoltam a jelenlegi topológiát.
Ami most van és működik. Adott a Router 1, ami L2TP szerverként működik a WAN1-en. 2 WAN lába van és az lenne a cél, hogy úgy tudjon átállni egyik ISP-ről a másikra, hogy lehetőleg kliens oldalon ne kelljen találgatni, hogy melyik megy éppen.
Két módon tudnám ezt elképzelni. Az egyik, hogy használom a Mikrotik beépített DynDNS szolgáltatását (xxxx.sn.mynetname.net) vagy a Router 2-re költöztetem a VPN szervert (ez hosting-ban van kb. zero downtime-al) és az ISP2-re is építek fel egy IPSec tunnelt.
A Router1-en pedig vagylagosan megy a WAN1 vagy a WAN2. Fix ip mindkettőre van.
Ti hogy oldanátok meg ?
Köszönöm előre is az ötleteket!
- 341 megtekintés
Hozzászólások
Két tunnel fixen felhúzva és felette OSPF routing.
- A hozzászóláshoz be kell jelentkezni
Köszönöm! Ilyenkor mi dönti el, hogy a szélesebb sávval rendelkező utat válassza? Nem ismerem ezt a protokollt...
- A hozzászóláshoz be kell jelentkezni
Az adott interface cost-ja.
- A hozzászóláshoz be kell jelentkezni
ez akartam irni, bar nalunk bgp van aki "terel".
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Majdnem örülök. Az OSPF hasít és a dual WAN is működik (a NAT illetve mangle szabályokat beállítottam, a NAT-olt csomagok ott mennek kifelé, ahol bejöttek stb.).
Hogy teljes legyen a megoldás szeretném, ha a PBX-ünkre kívülről rá tudnék csatlakozni, de úgy, hogy a hostingban lévő ip-t adom meg célként és onnan az éppen élő VPN csatornán átdobom a megfelelő portokat a PBX-re.
Tehát bejön az 5060 udp a 185.10.10.114-re, ott van egy DNAT a 10.10.30.250-re. Mivel a routing alapján látják egymást a hálózatok, a csomag szépen eltalán a 10.10.30.250-re, de a forrás ip a mobilom public ip-je lesz és utána fogalma sincs szegénynek, hogy hova kellene visszaküldeni a csomagot (Dupla NAT).
Szóval itt elakadtam.
Köszönöm előre is a javaslatokat!
- A hozzászóláshoz be kell jelentkezni
az egyszeru megoldas: a DNAT-olo szerveren kell meg egy MASQUERADE/SNAT azokra a csomagokra akik a vpnben mennek a 250-es ip fele (es azon belul is csak azokra akik a 5060 portra mennek), hogy a forras ip a hosting gep vpn belso ipje legyen. igy a valaszt is ide fogja kuldeni a 250-es gep, amit majd szepen visszallit a hostingos, es megy az eredeti feladonak. ezzel viszont elveszted hogy ki a valodi forras ip.
ha ez megis gond, akkor szinten a mikrotiken kell mangle szabalyokkal:
a vpnen bejovo 5060-as csomagokat meg MARK-olod, a conntrack _elvileg_ a valasz csomagokat is megjeloli, es ez alapjan a valaszt visszakuldod a vpnben. kb ugyanugy ahogy a NAT-nal csinaltad
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni