Failover VPN s Mikrotikem

Roman

Failover VPN s Mikrotikem
« kdy: 20. 05. 2018, 16:03:18 »
Zdravim pánové a dámy, odešel mi ve firmě mikrotik, na kterém běží VPN server a roadwariori se nemohli pripojit. Otázka je jak udělat ze dvou mikrotiku failover. Napadlo mě round-robin DNS. Nemáte nějaké další nápady jak předejít blackoutu?


nejsemsijist

Re:Failover VPN s Mikrotikem
« Odpověď #1 kdy: 20. 05. 2018, 18:26:36 »
Co vrrp? -jeden router je master a na druhý se přelívá konfigurace, při nedostupnosti přebírá druhý router roli toho prvního.

qwe

Re:Failover VPN s Mikrotikem
« Odpověď #2 kdy: 20. 05. 2018, 19:08:53 »
musis najprv popisat ako mas oba mikrotiky prepojene medzi sebou, ich pripojene do internetu, tym istym/roznymi ISP
VPN client je nakonfigurovany s IP alebo fqdn

potrebujeme nazaciatok nejake informacie

Lol Phirae

Re:Failover VPN s Mikrotikem
« Odpověď #3 kdy: 20. 05. 2018, 19:46:30 »
Hlavně nám nepiš, co tam je za VPN. Např. OpenVPN klient umí naprosto bez problémů

Kód: [Vybrat]
remote vpn1.example.com
remote vpn2.example.com
remote vpn3.example.com

a bude ty servery zkoušet v tomhle zadaném pořadí.

Roman

Re:Failover VPN s Mikrotikem
« Odpověď #4 kdy: 20. 05. 2018, 20:04:06 »
Ne l2tp over ipsec.


Roman

Re:Failover VPN s Mikrotikem
« Odpověď #5 kdy: 20. 05. 2018, 20:06:36 »
Citace
musis najprv popisat ako mas oba mikrotiky prepojene medzi sebou, ich pripojene do internetu, tym istym/roznymi ISP
VPN client je nakonfigurovany s IP alebo fqdn
Na mikrotiku je l2tp s ipsec server. Klienti Windows 7/10.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Failover VPN s Mikrotikem
« Odpověď #6 kdy: 20. 05. 2018, 20:13:02 »
Round Robbin je nejsnazsi cesta, alespon nekomu to pojede ;)

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:Failover VPN s Mikrotikem
« Odpověď #7 kdy: 21. 05. 2018, 00:36:14 »
Zdravim pánové a dámy, odešel mi ve firmě mikrotik, na kterém běží VPN server a roadwariori se nemohli pripojit. Otázka je jak udělat ze dvou mikrotiku failover. Napadlo mě round-robin DNS. Nemáte nějaké další nápady jak předejít blackoutu?
Ahoj,
to co chces umi presne VRRP jak uz bylo zmineno. Zaklad neni vubec tezky nakonfigurovat.

https://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
https://wiki.mikrotik.com/wiki/Manual:VRRP-examples

Roman

Re:Failover VPN s Mikrotikem
« Odpověď #8 kdy: 21. 05. 2018, 06:08:36 »
Kouknu na VRRP. Vypadá to dobře. Je škoda, že se neobejdou bez druhé veřejné IP adresy.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Failover VPN s Mikrotikem
« Odpověď #9 kdy: 21. 05. 2018, 06:10:09 »
Pokud to bude oboje pres jednoho providera, na jedne lince do sveta, tak jen "posunes" uzke misto jinam :(

M.

Re:Failover VPN s Mikrotikem
« Odpověď #10 kdy: 21. 05. 2018, 08:55:09 »
Pokud řešíš vytuhnutí mikrotika, že dáš dva vedle sebe, aby druhý převzal práci toho prvního, pokud první vytuhne, tak je jedno z možných řešení to vrrp. Jde provozobvat i v případě, kdy wan strana je PPPoE spojení, jen se musí na VRRP vložit fake adresa a PPPoE je nad VRRP. Druhou veřejnou IP adresu nepotřebuje, ale je plusem, pokud ji  máš (druhý RB je přímo dostupný). Máš jednu veřejnou, kterou si přebírají mikrotiky na VRRP interface (např )  a dvě link local, které slouží jako podklad pro VRRP. Musíš si ještě vymyslet, jak ty dva Mikrotiky připojíš na ISP, zda ti dá dva Ethernet porty nebo před to vložíš nějaký malý switch. Pokud switch, tak ideálně ať umí aspoň L2 filtraci a blokneš na portu k ISP odchozí/příchozí VRRP, ať mu tam neposíláš bordel.

Ideální řešení je, že mám ty mikrotiky dva, mám dvě různé linky k různým ISP a zálohují se vzájemně, zde při kombinaci s vrrp dosáhneš toho, že může naráz selhat jeden libovolný mikrotik i jedna libovolná konektivita a pořád to pojede do světa. Cokoliv dál již potřebuje aktivní spolupráci od ISPíka nebo nějakéoh dalšího místa.

Dále,  ty vrrp budeš muset provozovat dvoje, jedno na wan straně a druhá na lan straně, taktéž ty dva routery mít propojené bod-bod linkou pro ošetření stavu, kdy náhodou jeden bude držet vrrp na wan straně a druhý na lan straně, tak si data předávají přes ptp linku (ať už za pomocí trochu pomateného statického routingu nebo pomocí dynamického routingu).

Taková konfigurace se dá celkem dlouhodobě provozovat celkem spolehlivě (otestování na desítkých instalací, často slouží jako koncentrátory pro stovky VPN tunelů).

Nicméně počítej s Murphym: co se může pokazit, to se pokazí, co se pokazit nemůže, to se také pokazí. :-)

V principu:
WAN IP je 198.51.100.2/30, brána k ISP 198.51.100.1, LAN strana má 192.168.1.0/24, brána pro LAN věci je na 192.168.1.254, adresy .1 a .2 podložky pro VRRP. Je to jinak, než uvádí dokumentace od ROSu, ale funkční. :-)

R1:
/interface vrrp
add authentication=ah interface=bridge-lan name=vrrp-lan password=LokalniBordel priority=252 version=2 vrid=100
add authentication=ah interface=bridge-wan name=vrrp-wan password=ZdrojPorna priority=252 version=2 vrid=10
/ip address
add address=198.51.100.2/30 comment="ISP1 - verejna IP" interface=vrrp-wan
add address=169.254.166.101/32 comment="WAN IP podlozka pro VRRP" interface=bridge-wan
add address=192.168.1.254/24 comment="LAN segment" interface=vrrp-lan
add address=192.168.1.1/32 comment="LAN IP podlozka pro VRRP" interface=bridge-lan
/ip route
add check-gateway=ping distance=1 gateway=198.51.100.1 pref-src=198.51.100.2
/ip firewall nat
add action=accept chain=srcnat comment="At omylem nesahne NAT na VRRP!" dst-address=224.0.0.18
add action=src-nat chain=srcnat out-interface=vrrp-wan to-addresses=198.51.100.2

R2:
/interface vrrp
add authentication=ah interface=bridge-lan name=vrrp-lan password=LokalniBordel priority=127 version=2 vrid=100
add authentication=ah interface=bridge-wan name=vrrp-wan password=ZdrojPorna priority=127 version=2 vrid=10
/ip address
add address=198.51.100.2/30 comment="ISP1 - verejna IP" interface=vrrp-wan
add address=169.254.166.102/32 comment="WAN IP podlozka pro VRRP" interface=bridge-wan
add address=192.168.1.254/24 comment="LAN segment" interface=vrrp-lan
add address=192.168.1.2/32 comment="LAN IP podlozka pro VRRP" interface=bridge-lan
/ip route
add check-gateway=ping distance=1 gateway=198.51.100.1 pref-src=198.51.100.2
/ip firewall nat
add action=accept chain=srcnat comment="At omylem nesahne NAT na VRRP!" dst-address=224.0.0.18
add action=src-nat chain=srcnat out-interface=vrrp-wan to-addresses=198.51.100.2

Až ti tohle bude fungovat a přejde tě počáteční nadšení po vypnutí elektriky z R1, že to funguje, tak asi začneš řešit to, aby ty VRRP, pokud to jde, byly synchronní (když se vrrp-wan přehodí z R1 na R2, ať to stejné udělá i vrrp-lan, řeší se up/down eventem na vrrp-wan straně, který mění dynamicky priority na vrrp-lan) a další krok je, když ti bude třeba R1 držet vrrp-wan a R2 bude držet vrrp-lan, protože R1 omylem vytrhneš od LAN switche (nebo přesně naopak), tak ať to také správně funguje (zapojí se routing přes bod-bod linky mezi routery). Tady ale hlavně záleží, jaké všechny stavy chceš ještě řešit nebo dáš do kategorie, že se nemůže stát... :-)

Roman

Re:Failover VPN s Mikrotikem
« Odpověď #11 kdy: 21. 05. 2018, 09:18:18 »
TO @M: Tak toto jsem necekal. Super! Dekuji! Uz si stim od rana hraju a zatim dobry.