Jump to content
Калькуляторы

SOs

Активный участник
  • Content Count

    198
  • Joined

  • Last visited

About SOs

  • Rank
    Студент

Информация

  • Пол
    Не определился

Recent Profile Visitors

1160 profile views
  1. Короче собрал лабу. Запустил BGP в main таблице. Заработало. С BGP в VRF надо разбираться.
  2. Может так из-за того, что процесс BGP в VRF крутится? Но TCP SYN в этом VRF отправляются. ACKи тоже должны. ХЗ....
  3. последняя 6,45,8 long-term   Настройки в принципе правильные? Я BGP на микротике первый раз готовлю. На циске просто заводится: указал соседа из своей AS и указал next-hop-self. Готово. Думал по аналогии настрою...
  4. Так src и dst вроде правильно подставляет. Было none. Указал интерфейс, смотрящий на соседа. Та же картина. В дампе естественно те же scr dst.
  5. Снял дамп с внутреннего интерфейса CE2. CE1 и CE2 перекидываются SYN пакетами и все. В conntrack та же картина. Telnet на CE1 и CE2 на 179 порт проходит.
  6. Добрый день, Коллеги!Не поднимается iBGP на микротах. Схема стандартная: multihomed bgp с двумя клиентскими маршрутизаторами. Куда копать?Конфиг CE1: /routing bgp instance add as=XXX962 client-to-client-reflection=no name=BGP_PROCESS router-id=XX.XX.33.226 routing-table=VRF_ISP /routing bgp network add network=ZZ.ZZ.176.0/24 synchronize=no /routing bgp peer add instance=BGP_PROCESS name=ISP_PEER remote-address=XX.XX.33.225 remote-as=AAAAA ttl=default add instance=BGP_PROCESS name=IBGP_PEER nexthop-choice=force-self remote-address=ZZ.ZZ.176.252 remote-as=XXX962 ttl=default Конфиг CE2: /routing bgp instance add as=XXX962 client-to-client-reflection=no name=BGP_PROCESS router-id=YY.YY.147.7 routing-table=VRF_ISP /routing bgp network add network=ZZ.ZZ.176.0/24 synchronize=no /routing bgp peer add instance=BGP_PROCESS name=ISP_PEER remote-address=YY.YY.147.6 remote-as=BBBBB ttl=default add instance=BGP_PROCESS name=IBGP_PEER nexthop-choice=force-self remote-address=ZZ.ZZ.176.251 remote-as=XXX962 ttl=default С eBGP проблем нет. Маршрутизаторы по "внутренним" адресам ZZ.ZZ.176.251 и ZZ.ZZ.176.252 видят друг друга без проблем. Состояние IBGP_PEER постоянно висит в "connect".
  7. @nkusnetsov Ты прав. Несмотря на настройку интерфейсов "ALL", создал новый лист и добавил VLAN14_MGMT и VLAN15_MGMT. Соединение по МАКу пошло. Поменял прошивку из ветки STABLE, поведение то-же. Не пойму тогда какая разница между первым и вторым конфигом. Настройка MAC-Telnet ни где не затрагивается. Только в первом случае надо интерфейсы указывать, во втором - нет. Чудеса какие-то.. Спасибо за подсказку!
  8. Добрый день! Сижу, разбираюсь с настройкой VLANов на прошивке 6.42.10 коммутаторов CRS125. VLANа в лабе 2 - vlan14 и vlan15: Ether1 - транк Ether14 - access vlan14 Ether15 - access vlan15 Проблема (вернее вопрос) с получением доступа к RouterOS на SVI: Получается подключаться к SVI из Winbox по IP, но по MAC никак, хотя lldp отображает все верно в соответствии с VLANом порта подключения. Это фича такая или у меня лыжи? Конфиг следующий: # jan/02/1970 00:52:38 by RouterOS 6.42.10 # model = CRS125-24G-1S /interface bridge add name=BR_MAIN protocol-mode=none /interface vlan add interface=BR_MAIN name=VLAN14_MGMT vlan-id=14 add interface=BR_MAIN name=VLAN15_MGMT vlan-id=15 /interface ethernet switch set forward-unknown-vlan=no /interface bridge port add bridge=BR_MAIN interface=ether1 add bridge=BR_MAIN interface=ether2 add bridge=BR_MAIN interface=ether3 add bridge=BR_MAIN interface=ether4 add bridge=BR_MAIN interface=ether5 add bridge=BR_MAIN interface=ether6 add bridge=BR_MAIN interface=ether7 add bridge=BR_MAIN interface=ether8 add bridge=BR_MAIN interface=ether9 add bridge=BR_MAIN interface=ether10 add bridge=BR_MAIN interface=ether11 add bridge=BR_MAIN interface=ether12 add bridge=BR_MAIN interface=ether13 add bridge=BR_MAIN interface=ether14 add bridge=BR_MAIN interface=ether15 add bridge=BR_MAIN interface=ether16 add bridge=BR_MAIN interface=ether17 add bridge=BR_MAIN interface=ether18 add bridge=BR_MAIN interface=ether19 add bridge=BR_MAIN interface=ether20 add bridge=BR_MAIN interface=ether21 add bridge=BR_MAIN interface=ether22 add bridge=BR_MAIN interface=ether23 add bridge=BR_MAIN interface=ether24 add bridge=BR_MAIN interface=sfp1 /interface ethernet switch egress-vlan-translation add new-customer-vid=0 ports=ether14,ether15 /interface ethernet switch ingress-vlan-translation add new-customer-vid=14 ports=ether14 add new-customer-vid=15 ports=ether15 /interface ethernet switch vlan add ports=ether1,ether14,switch1-cpu vlan-id=14 add ports=ether1,ether15,switch1-cpu vlan-id=15 /ip address add address=192.168.14.1/24 interface=VLAN14_MGMT network=192.168.14.0 add address=192.168.15.1/24 interface=VLAN15_MGMT network=192.168.15.0 Теги вроде ходят как надо, hw-offload поддерживается, но подключаться можно только по IP. Ради и интереса вбил синтаксис от CRS3xx. hw-offload выключился, но подключение к управлению пошло и по IP и по MAC успешно. # jan/02/1970 00:09:36 by RouterOS 6.42.10 # model = CRS125-24G-1S /interface bridge add name=BR_MAIN protocol-mode=none vlan-filtering=yes /interface vlan add interface=BR_MAIN name=VLAN14_MGMT vlan-id=14 add interface=BR_MAIN name=VLAN15_MGMT vlan-id=15 /interface bridge port add bridge=BR_MAIN interface=ether1 add bridge=BR_MAIN interface=ether2 add bridge=BR_MAIN interface=ether3 add bridge=BR_MAIN interface=ether4 add bridge=BR_MAIN interface=ether5 add bridge=BR_MAIN interface=ether6 add bridge=BR_MAIN interface=ether7 add bridge=BR_MAIN interface=ether8 add bridge=BR_MAIN interface=ether9 add bridge=BR_MAIN interface=ether10 add bridge=BR_MAIN interface=ether11 add bridge=BR_MAIN interface=ether12 add bridge=BR_MAIN interface=ether13 add bridge=BR_MAIN interface=ether14 pvid=14 add bridge=BR_MAIN interface=ether15 pvid=15 add bridge=BR_MAIN interface=ether16 add bridge=BR_MAIN interface=ether17 add bridge=BR_MAIN interface=ether18 add bridge=BR_MAIN interface=ether19 add bridge=BR_MAIN interface=ether20 add bridge=BR_MAIN interface=ether21 add bridge=BR_MAIN interface=ether22 add bridge=BR_MAIN interface=ether23 add bridge=BR_MAIN interface=ether24 add bridge=BR_MAIN interface=sfp1 /interface bridge vlan add bridge=BR_MAIN tagged=ether1,BR_MAIN untagged=ether14 vlan-ids=14 add bridge=BR_MAIN tagged=ether1,BR_MAIN untagged=ether15 vlan-ids=15 /ip address add address=192.168.14.1/24 interface=VLAN14_MGMT network=192.168.14.0 add address=192.168.15.1/24 interface=VLAN15_MGMT network=192.168.15.0 Что не так делаю в первом случае, Коллеги?
  9. - Попробовал aes-128, разницы никакой - Поставил свитч между Микротиками, раскидал шифрование по физическим интерфейсам (eth1 и eth2, в соответствии со внутренней блок схемой). Туннеля оставил 2, по 1 на инт-с. Скорость осталась та же. - Поменял алгоритм балансировки на БОНД инт-се на XOR с хэшем до L4, скорость поднялась до 315 Мб/с полезного трафика (340 Мб/с на интерфейсе марш-ра). Нагрузка на проц почти не поменялась, но стала равномернее. - Перевел все на 1 физический интерфейс, Поменял на AES-256 - Скорость осталась прежняя ~ 310 Мб/с. Проц так же нагружается равномерно. - Удалил бонд, перевел все на один туннель. Скорость та же , проц также. Я ХЗ что было. Похоже все дело было в балансировщике БОНДа. Но до цифры 450 Мб/с все-равно далеко. [admin@MT_1] > export # jan/02/1970 00:11:34 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_1 /system routerboard settings set silent-boot=no [admin@MT_1] > [admin@MT_2] > export # jan/02/1970 00:37:31 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_2 /system routerboard settings set silent-boot=no [admin@MT_2] >
  10. Добрый день! Никак не пойму как "раскачать" шифрование на RB750Gr3 на полную. Макс - 230 Мб/с и почти вся нагрузка на одном ядре (т.е. 2х виртуальных, как понимаю аналог HT). Схема: ПК - MT1 - MT2 - ПК Оба ПК в одной сети, т.е. шифруем прозрачно для ПК. Делал и через L2TP/IpSec и через EOIP/IPSec, и через несколько EOIP/IPSec в BONDе (так несколько SA, вроде должно нагрузку "размазывать" по ядрам). Всегда одинаково - 230 Мб/с, ~50% CPU, и почти вся нагрузка на одном ядре. Как получить рекламные 450 Мб/с или как "размазать" нагрузку по ядрам? Конфиг МТ1 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:34:51 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel2 remote-address=1.1.2.2 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel3 remote-address=1.1.3.2 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel4 remote-address=1.1.4.2 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 add address=1.1.3.1/24 interface=ether1 network=1.1.3.0 add address=1.1.4.1/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] > Конфиг МТ2 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:31:28 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel2 remote-address=1.1.2.1 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel3 remote-address=1.1.3.1 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel4 remote-address=1.1.4.1 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 add address=1.1.3.2/24 interface=ether1 network=1.1.3.0 add address=1.1.4.2/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] >
  11. Добрый день! Никогда не щупал настройку репитера на микротике, а под рукой нет моделей с радио. Можете подсказать: в режиме репитера микротик умеет "отбивать" слабых клиентов?
  12. Купим PI /24 + AS. Юр. лицо, безнал. Цены, пожалуйста, в личку.
  13. Переделал. Работает. Спасибо! Думал получится и разные интерфейсы нагородить. Ясно. Буду оперировать в настройках сетями, а не интерфейсами.
  14. А куда повесить 2 внешних IP из разных сетей ? Для пояснения: [1111@CCR1036_12G_4S] > /int vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE ... 2 R VLAN100 1500 enabled 100 ether1 3 R VLAN101_WIFI_GW 1500 enabled 101 ether1 4 R VLAN102_KSPD_GW 1500 enabled 102 ether1 [1111@CCR1036_12G_4S] /interface bridge> print Flags: X - disabled, R - running ... 5 R name="BR_WAN" mtu=auto actual-mtu=1500 l2mtu=1576 arp=enabled arp-timeout=auto protocol-mode=none fast-forward=yes priority=0x8000 auto-mac=yes max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m [1111@CCR1036_12G_4S] /interface bridge port> print Flags: X - disabled, I - inactive, D - dynamic # INTERFACE BRIDGE PRIORITY PATH-COST HORIZON ... 4 VLAN100 BR_WAN 0x80 10 none ... 6 VLAN101_WIFI_GW BR_WAN 0x80 10 none 7 VLAN102_KSPD_GW BR_WAN 0x80 10 none
  15. Добрый день! Пните в нужном направлении! Есть роутер "на палке". На него приходит пров протегированный VLAN100, который отдает мне в одном броадкаст домене 2 внешние сети. Думаю, как правильно повесить по IP из каждой сети. Подобрал, что интерфейс VLAN можно использовать наподобие лупбеков Пробовал создавать VLAN'ы с указанием "родительского" VLAN100 интерфейса. Работет, но глючно, иногда пропадает пинг. Рабочее решение на данный момент см. схему. Работает, но меня смущает, что в NAT, Firewall и т.д. нельзя использовать интерфейсы VLAN101 и VLAN102. Пишет, что они "slaves" и требует применить настройки на бридж. Приходится ставить интерфейсом "бридж" и все работает, благо настройки для инт-сов vlan101 и vlan102 идентичные. Можно ли собрать подобныую схему как-то по другому? Чтобь можно было полноценно рулить интерфейсами VLAN101 и VLAN102 ?