Соеденить два роутера через интернет через третью сторону

[NSGrid]

Небольшая предыстория. Имеются две квартиры. В Москве (провайдер Лантек - https://lantek.ru) и Санкт-Петербурге (провайдер Airnet - https://airnet.ru). В каждой из них стоит оборудование (роутеры Кинетик). У провайдеров подключены услуги внешних статических IP. Два роутера объединены через VPN - IPsec сеть-сеть - встроенная функция у роутеров Кинетик.

Таким образом имеем:
Москва: 192.168.0.0 сеть, внешний IP провайдер Лантек - lantek.ru
Питер 172.16.0.0 сеть, внешний IP провайдер Airnet - airnet.ru

Через IPsec эти две локалки объединены через интернет. Причем сервером выступает Москва, к ней подключается Питер.

Вроде бы все обычно. Когда канал поднят, все нормально, трафик ходит, есть доступ к ресурсам обеих локалок и все такое.

Так они прекрасно работали пару лет, но вот примерно с 2024 года и на сегодняшний день было зафиксировано вот уже как минимум 4 случая, когда канал отваливается на несколько дней. Из-за чего мне приходится интенсивно начинать написывать в техподдержки обоих провайдеров (Лантек и Айрнет), прикладывая трассировки. Причем ситуация такая удивительная, что связность нарушается именно между этими двумя провайдерами. Например, с провайдера Лантек нельзя открыть даже сайт провайдера Айрнет, а не только постучаться к оборудованию в питерской квартире через питерский внешний IP. То есть, если например постучаться с других провайдеров, то работает и с Лантеком, и с Айрнетом. Таким образом, блокировка осуществляется между всеми пулами IP обоих провайдеров.

Выяснение с техподдержками выявляло проблему на узле обмена трафиком https://piter-ix.ru и канал через некоторое время чинился, но это не дает никакой гарантии, что он снова отвалится.

Возник такой вопрос. У меня есть еще возможность подключиться к третей стороне провайдера Ростелеком - еще одна квартира и там тоже стоит роутер Кинетик и имеется внешний IP.

Вопрос такой. Можно ли соединить два этих роутера через третий? При этом, я знаю, что в базе знаний есть инструкция как это сделать через Wireguard, но мне по ряду причин этот вариант не очень нравится, я хочу их соединить через IPsec. Возможно ли это? То есть, чтобы, если канал между двумя конкретными провайдерами (Лантек и Айрнет) не работает, то соедеить их через третью сторону.

Изменено вчера в 08:42 пользователем NSGrid

[Le ecureuil]

Добрый день, да, уже несколько лет как можно.

Начиная с версии 4.1 поддерживаются несколько подсетей во вторых фазах в IKEv2, потому вы можете в краевых узлах указать по 2 подсети - центрального узла и хаба.

[bzzztomas77]

я для решения подобной задачи запустил bird2 с ospf из entware - работает.

 

[NSGrid]

1 час назад, Le ecureuil сказал:

Начиная с версии 4.1 поддерживаются несколько подсетей во вторых фазах в IKEv2, потому вы можете в краевых узлах указать по 2 подсети - центрального узла и хаба.

ОК, у меня тоже было предположение, что это возможно. Но помогите с настройками, так как пока что-то не получается.

Еще раз для понимания. Условные обозначения.

Роутер 1. Лантек (Москва) сеть 192.168.0.0 сервер, имеется внешний статический IP

Роутер 2. Airnet (Питер) сеть 172.16.0.0 клиент, имеется внешний статический IP

Роутер 3. Ростелеком (Москва) сеть 192.168.2.0, имеется внешний статический IP

В нормальном режиме Роутер 1 и Роутер 2 соединены напрямую через канал Ipsec сеть-сеть. Причем, Роутер 1 ждет подключения. Роутер 2 к нему подключается.

Из какого-то глюка маршрутизации Роутер 1 не может соединиться с Роутером 2 и наоборот. Но Роутер 3 может соединяться с Роутером 1 и Роутером 2 и наоборот.

Я уже тестировал. На Роутере 3 заводилось соединение Ipsec сеть-сеть из раздела "другие подключения". Роутер 3 ждал подключения. Роутеры 1 и 2 к нему подключались, причем одновременно, у них соединения тоже, соответственно, создавались в этом же разделе, в качестве домена подключения прописывался внешний IP Роутера 3. Подключения успешно устанавливались. Но с Роутера 1  не пинговалась сеть на Роутере 2 и наоборот. Привожу скриншоты фазы 2 трех роутеров. Пожалуйста посмотрите, правильно ли прописаны сети?

Роутер 3

 

Роутер 1

 

Роутер 2

При такой схеме подключения Роутер 1 и Роутер 2 пингуют устройства в сети Роутера 3 (к которой оба подключаются). Но между собой пинги не проходят. Что я делаю не так?

Изменено вчера в 10:12 пользователем NSGrid

[NSGrid]

38 минут назад, bzzztomas77 сказал:

я для решения подобной задачи запустил bird2 с ospf из entware - работает.

 

А можете подробнее? Есть какая-то инструкция по настройке? и чем это лучше встроенных средств? У вас тоже не устанавливается туннель между двумя конкретными провайдерами?

 

Изменено вчера в 09:23 пользователем NSGrid

[bzzztomas77]

47 minutes ago, NSGrid said:

А можете подробнее? Есть какая-то инструкция по настройке? и чем это лучше встроенных средств? У вас тоже не устанавливается туннель между двумя конкретными провайдерами?

 

я не видел встроенных средств для динамической маршрутизации. у меня несколько точек и только два белых IP, прямые маршруты невозможны в некоторых случаях, иногда туннели падают (wg, например) - все они продублированы через pptp. один раз настроил bird и оно самое там перестраивается.. 

 

настройка bird примитивная (наверное не оптимальная, но пока других проблем хватает):

log syslog { info };
router id 192.168.1.1;
ipv4 table master4;
protocol device {
};
protocol kernel {
        ipv4 {
                import all;
                export all;
        };
        persist;
}
protocol ospf {
	ipv4 {
		export all;
		import all;
	};
	area 0 {
		interface "vpn0" {
			cost 20;
			type ptp;
		};
		interface "nwg*" {
			cost 10;
			type ptp;
		};
		interface "br0" {
			cost 1;
		};
	};
};

 

[NSGrid]

15 минут назад, bzzztomas77 сказал:

я не видел встроенных средств для динамической маршрутизации. у меня несколько точек и только два белых IP, прямые маршруты невозможны в некоторых случаях, иногда туннели падают (wg, например) - все они продублированы через pptp. один раз настроил bird и оно самое там перестраивается.. 

 

настройка bird примитивная (наверное не оптимальная, но пока других проблем хватает):

Я верно понимаю, что у вас все идет через один роутер, на котором собственно этот пакет установлен? А другие узлы к нему подключаются? А в качестве VPN протокола вы используете Wireguard и PPTP?

[bzzztomas77]

4 hours ago, NSGrid said:

Я верно понимаю, что у вас все идет через один роутер, на котором собственно этот пакет установлен? А другие узлы к нему подключаются? А в качестве VPN протокола вы используете Wireguard и PPTP?

нет, на каждом роутере стоит bird и они друг с другом договариваются о маршрутизации.

да, для тоннелей использую wireguard и pptp.