VPN não funciona com dois links pppoe

Galera e o seguinte estou com um probleminha aqui!
tenho um mikrotik no pc com dois links em pppoe da mesma operadora saindo p os clientes na mesma faixa de ip
Fiz u load q particularmente p mim esta sendo melhor
Anexo 64476Anexo 64477Anexo 64478
O QUE ACONTECE OS CLIENTES Q ESTÃO NA FAIXA 2 A 126 USAM O LINK 1
E OS CLIENTES DO 129 A 240 LINK 2
mais ai começou meu problema a vpn n funciona mais ja tentei algumas regras na rota pois acho q seria um problema de rota mais nada
Se alguém puder me ajudar
Obrigado!!!

.

Boa noite xará.
Posta um print das rotas e da tabela mangle. pq acredito que fazendo uma rota para o destino e escolhendo um link funcionaria mas tenho que ver os prints para saber como vc fez.
Aguardo retorno

Enviado via LG-V480 usando UnderLinux App

Anexo 64543Anexo 64544Anexo 64545
ai xará segue as rotas e o mangle vlw

Fala xará.
existem uma rota para o destino 0.0.0.0/0 para cada link sem a opção routing marking?
se não existir é isso que ta atrapalhando.
só lembrando que os link devem ter distancia diferentes.
Tipo vc coloca distancia 1 para o maior e 2 para o menor
Depois posta os resultados.
Caso tenha duvida so falar ai

entao aqui meu load balance n e exatamente um balance
funciona assim eu dividi a pool dhcp em duas faixas de ips vai do 60.2 ate 60.126
e outra faixa q vai do 60.129 ao 60.240 e criei um mangle p separar os clientes os outros ips sao equipamentos da rede
os clientes 60.2 ate 60.126 usao o link 01 e os 60.129 ao 60.240 usao o link dois
mais n tem balance entre os links
na verdade n tem balance neh pq se um link cai os clientes daquele link ficam sem acesso!!!
ate ai tudo blz pra mim ta funcionando uma maravilha mais n consigo mais funcionar o thunder nem a vpn
nas primeiras imagens la em cima da p vc ver as config

Buenas @magnojf

É que assim, quando uma conexão entra na RB, digamos com endereço de origem 150.10.20.30, pra porta da VPN, dai o router recebe, analisa e tem que responder, como ele não conhece o endereço de origem, para o qual tem que responder, ele tem que enviar através de uma rota configurada para aquele destino CASO A ROTA EXISTA. Você aparentemente só tem 2 rotas padrão (para quanto o destino é 0.0.0.0/0) e as duas estão com routing-mark. Nenhum pacote passa por essas rotas a não ser que sejam marcados para tal.

Então a RB vai responder a solicitação da conexão da VPN, para aquele endereço de origem, mas não tem pra onde responder, pq ela não conhece aquela rede e não tem nenhuma rota pra alcança-la.

Por outro lado, se você simplesmente adicionar duas rotas na tabela main (na tabela main é deixar sem routing-mark), uma para cada link, somente um link vai funcionar, pois a resposta vai ser analisada contra a tabela de roteamento, e a primeira rota que for possível utilizar para alcançar o destino, será utilizada, e no caso do pedido de conexão tiver entrada pelo link que não é o primeiro a ser analisado na tabela de roteamento, aquele pacote se perderá também pois tu estaria tentando fechar uma conexão que veio de uma rota respondendo por outra, não funciona.

Pra funcionar ai no seu cenário, você precisa marcar o pacote para usar a rota certa, pela qual ele entrou. Como a resposta do pacote não vai ter conhecimento de interface de saída antes de ser rotado, você não vai poder se basear pelas interfaces PPPoE-Client, e como provavelmente os endereços de IP dos PPPoE-client não são fixos, você também não vai poder se basear pelo endereço de origem de resposta (endereço de origem da resposta é o endereço local da RB, que no caso será o mesmo endereço de destino do pedido de conexão que entrou na RB).

O que você precisaria fazer seria marcar a conexão, pelo mangle, e depois marcar as rotas nos pacotes baseados na conexão marcada. Quando a conexão entra, pela interface DISCADOR LINK1, você coloca uma connection-mark nela, digamos "ConexaoLink1", quando a conexão entra pelo DISCADOR LINK2, você coloca uma connection-mark "ConexaoLink2".
Depois disso, você simplesmente coloca routing-mark "GRUPO A" em todas as conexões que estão com connection-mark "ConexaoLink1", e routing-mark "GRUPO B" em todas que estão com connection-mark "ConexaoLink2".

cara q aula!!! muito obrigado resolvi meu problema e aprendi muito mais vlw