pin
-
Публикации
36 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем pin
-
-
1 час назад, murano сказал:
Наверное путем написания соответствующих фильтров для аплинков.
Логично....
Мне бы кусочек рабочего конфига, буду очень благодарен. Пробовал через prefix-list, access-list не получается.
-
Всем здравствуйте!
Имеется сервер на Debian 11. Установлен FRR из репозиториев для обеспечения динамической маршрутизации. Как отфильтровать список ВХОДЯЩИХ маршрутов, чтобы отображалась только часть сеток?
-
А можно узнать, какие features у вас включены?
P.S. Разбираюсь с ERSPAN, железяка это умеет.
-
Здравствуте!
Возникла необходимость передачи трафика с зеркалированного порта с одной NEXUS 3064 на другую такую же. На обеих железках одинаковые прошивки 7.0(3)I7(6).
Создаю vlan:
sw2# conf t sw2(config)# vlan 3 sw2(config-vlan)# remote-span ^ % Invalid command at '^' marker. sw2(config-vlan)# ? media Media type of the VLAN name Ascii name of the VLAN no Negate a command or set its defaults shutdown Shutdown VLAN switching state Operational state of the VLAN end Go to exec mode exit Exit from command interpreter pop Pop mode from stack or restore from name push Push current mode to stack or save it under name where Shows the cli context you are inт.е. команды remote-span нет вообще.
Смотрел тут, тоже ничего не нашел.
Подскажите, куда копать дальше?
-
14 часов назад, McSea сказал:
К сожалению, нет
13 часов назад, s.lobanov сказал:Первая ссылка в гугле по очевидному запросу "postfix outgoing ip per domain"
https://www.kutukupret.com/2010/01/02/postfix-bind-sender-domain-to-dedicated-outgoing-ip-address/
Поскольку почтовик не указан, то решил что postfix (он просто лично мне нравится как smtp-релей)
Даже если белые IP не принадлежат хосту с smtp-сервером, то дайте ему кучу серых и SNAT-правила мапьте как вам нравится в белые (по сути это L3-L4 фичи, а не ужасный L7)
Да, используется именно postfix. Супер, большое спасибо! буквально то, что доктор прописал.
-
Здравствуйте!
Есть почтовый сервер, подключенный через Mikrotik к сети интернет, до почтового сервера настроен редирект портов. С НГ планируется добавление еще нескольких реальных IP-адресов на WAN-интерфейс (навешивать будем алиасами, поскольку провайдер отказывается предоставлять отдельными VLAN'ами) и, соответственно, к этим IP-шникам буду прикручены почтовые домены: domain1.ru, domain2.ru и т.д. Необходимо, чтобы наружу почта от пользователя user@domain1.ru уходила с IP-адреса, соответствуюшего этому домену и т.д. Думаю смотреть в сторону функции Layer7, но какое регулярное выражение там прописывать? @domain1.ru будет достаточно?
-
В 05.10.2018 в 14:51, pingz сказал:
На втором скрине только 3 строки или еще есть? Там должен быть 192.168.24.0/24
Только эти три строки
-
-
9 минут назад, pingz сказал:
Возможно я не понял всю суть сети, но без ната и маркировки тут не разобраться(у микратика нет полноценного VRF как у полноценных маршутизаторах)
Ты потеряешь 1-3 месяца и придешь к выводу, что за 1 неделю бы переписал IP пространство и через 2-3 дня у тебя все бы летало.
ИМХО Городить кривой огород из костылей, не самое благородное дело.
Полностью согласен, НО:
- то, что придется использовать NAT,я понимаю, вопрос в том, почему не появляется маршрут, как только эту проблему решим, дальшея знаю, как делать, я настроивал раньше, но только для статики, сейчас динамику хочется, очень хочется. Сети сейчас переименовать вообще не вариант - начальство не даст до нового года.
-
Все правильно, он там есть:
/routing ospf network print Flags: X - disabled, I - invalid # NETWORK AREA ..... 7 192.168.24.0/24 vrf-area1 8 10.1.4.0/30 vrf-area1 .......
В /routing ospf route print см. выше
... 132 ADC 192.168.24.0/24 192.168.24.1 vlan24 0 ...
-
Изначально вопрос был: почему сетка 192.168.24.0/24не анонсируется на R2?
-
Опубликовано · Изменено пользователем pin · Жалоба на ответ
В 03.10.2018 в 08:52, pingz сказал:Покажи маршруты для
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
И для
192.168.0.0/21
Скринами.
С пересекающими IP адресами, скорее всего придется собирать всё через нат.
изменил название VRF-таблицы на более понятное для меня
В 03.10.2018 в 08:53, VolanD666 сказал:5) А логинг оспфа точно включен?
Конечно
-
1 час назад, VolanD666 сказал:
На R2 в конфиге точно есть команда назначения инт-са в врф? Что в ospf db на обоих роутерах? Состояние соседства на обоих фул?? Что в логах? Роутеры на МТУ не ругаются?
1. Если на R2 добавляешь инстанс в VRF, маршруты исчезают из таблицы R4
2. какой командой глянуть?
3. Пров торой роутер пока не скажу, отправил запрос админу
4. В логах - тишина, только записи о смене правил админом
5. Нет, не ругаются, по связи как раз все пучком
-
Опубликовано · Изменено пользователем pin · Жалоба на ответ
Пулы поменять, по крайней мере до конца года не реально, задачу надо решить как можно быстрее.
R4:
/ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADo 10.0.2.8/30 10.1.4.2 110 1 ADC 10.1.4.0/30 10.1.4.1 ipip-tunnel16 0 2 ADo 192.168.0.0/24 10.1.4.2 110 3 ADo 192.168.1.0/24 10.1.4.2 110 4 ADo 192.168.2.0/24 10.1.4.2 110 ....... 19 ADC 10.1.1.254/32 10.1.1.1 <l2tp-pin> 0 20 ADC 10.1.2.0/30 10.1.2.1 ipip-tunnel1 0 21 ADC 10.1.2.4/30 10.1.2.5 ipip-tunnel2 0 22 ADC 10.1.2.8/30 10.1.2.9 ipip-tunnel3 0 23 ADC 10.1.2.12/30 10.1.2.13 ipip-tunnel4 0 24 ADC 10.1.2.16/30 10.1.2.17 ipip-tunnel10 0 25 ADC 10.1.2.20/30 10.1.2.21 ipip-tunnel6 0 26 ADC 10.1.2.24/30 10.1.2.25 ipip-tunnel5 0 27 ADC 10.1.2.28/30 10.1.2.29 ipip-tunnel8 0 28 ADC 10.1.2.32/30 10.1.2.33 ipip-tunnel9 0 29 ADC 10.1.2.36/30 10.1.2.37 ipip-tunnel11 0 30 ADC 10.1.2.40/30 10.1.2.41 ipip-tunnel12 0 31 ADC 10.1.2.44/30 10.1.2.45 ipip-tunnel13 0 32 DC 10.1.2.48/30 10.1.2.49 ipip-tunnel14 255 33 ADC 10.1.2.52/30 10.1.2.53 ipip-tunnel15 0 34 ADo 10.1.3.0/30 10.1.2.18 110 35 ADo 10.1.3.4/30 10.1.2.18 110 36 ADo 10.1.3.8/30 10.1.2.2 110 10.1.2.18 37 ADo 10.1.3.12/30 10.1.2.6 110 10.1.2.18 38 ADo 10.1.3.16/30 10.1.2.22 110 10.1.2.18 39 ADo 10.1.3.20/30 10.1.2.10 110 10.1.2.18 40 ADo 10.1.3.24/30 10.1.2.18 110 41 ADo 10.1.3.32/30 10.1.2.18 110 42 ADC 10.1.6.0/24 10.1.6.1 vlan1016 0 43 ADo 10.1.7.1/32 10.1.2.18 110 44 ADo 10.1.7.2/32 10.1.2.18 110 45 ADo 10.2.0.0/30 10.2.0.85 110 46 ADo 10.2.0.4/30 10.2.0.85 110 47 ADo 10.2.0.12/30 10.2.0.85 110 48 ADo 10.2.0.16/30 10.2.0.85 110 49 ADo 10.2.0.20/30 10.2.0.85 110 50 ADo 10.2.0.24/30 10.2.0.85 110 51 ADo 10.2.0.28/30 10.2.0.85 110 52 ADo 10.2.0.32/30 10.2.0.85 110 53 ADo 10.2.0.36/30 10.2.0.85 110 54 ADo 10.2.0.40/30 10.2.0.85 110 55 ADo 10.2.0.44/30 10.2.0.85 110 56 ADo 10.2.0.48/30 10.2.0.85 110 57 ADo 10.2.0.52/30 10.2.0.85 110 58 ADo 10.2.0.56/30 10.2.0.85 110 59 ADo 10.2.0.60/30 10.2.0.85 110 60 ADo 10.2.0.64/30 10.2.0.85 110 61 ADo 10.2.0.68/30 10.2.0.85 110 62 ADo 10.2.0.72/30 10.2.0.85 110 63 ADo 10.2.0.76/30 10.2.0.85 110 64 ADo 10.2.0.80/30 10.2.0.85 110 10.1.2.10 65 ADC 10.2.0.84/30 10.2.0.86 ipip-tunnel7 0 66 ADo 10.2.0.88/30 10.2.0.85 110 10.1.2.18 67 ADo 10.2.0.92/30 10.2.0.85 110 68 ADo 10.2.0.100/30 10.2.0.85 110 69 ADo 10.2.0.104/30 10.2.0.85 110 70 ADo 10.2.0.108/30 10.2.0.85 110 71 ADo 10.2.0.112/30 10.2.0.85 110 72 ADo 10.2.0.116/30 10.2.0.85 110 ........ 84 A S 172.16.100.0/22 172.16.0.12 1 85 ADo 172.17.0.0/28 10.2.0.85 110 86 ADo 172.17.1.0/24 10.2.0.85 110 87 ADo 172.17.2.0/26 10.2.0.85 110 88 ADo 172.17.4.0/26 10.2.0.85 110 89 ADo 172.17.5.0/26 10.2.0.85 110 90 ADo 172.17.6.0/26 10.2.0.85 110 91 ADo 172.17.7.0/26 10.2.0.85 110 92 ADo 172.17.8.0/26 10.2.0.85 110 93 ADo 172.17.9.0/26 10.2.0.85 110 94 ADo 172.17.10.0/26 10.2.0.85 110 95 ADo 172.17.11.0/26 10.2.0.85 110 96 ADo 172.17.12.0/26 10.2.0.85 110 97 ADo 172.17.13.0/26 10.2.0.85 110 98 ADo 172.17.14.0/26 10.2.0.85 110 99 ADo 172.17.15.0/26 10.2.0.85 110 100 ADo 172.17.16.0/26 10.2.0.85 110 101 ADo 172.17.17.0/26 10.2.0.85 110 102 ADo 172.17.18.0/26 10.2.0.85 110 103 ADo 172.17.19.0/26 10.2.0.85 110 104 ADo 172.17.20.0/26 10.2.0.85 110 105 ADo 172.17.21.0/26 10.2.0.85 110 106 ADo 172.17.22.0/26 10.2.0.85 110 107 ADo 172.17.23.0/24 10.2.0.85 110 108 ADo 172.17.24.0/26 10.2.0.85 110 109 ADo 172.17.25.0/26 10.2.0.85 110 110 ADo 172.17.26.0/26 10.2.0.85 110 111 ADo 172.17.27.0/26 10.2.0.85 110 ....... 118 ADC 192.168.8.0/27 192.168.8.1 vlan8 0 119 X S 192.168.8.11/32 172.16.0.12 1 120 ADo 192.168.12.0/24 10.1.2.34 110 121 ADC 192.168.14.0/29 192.168.14.1 vlan14 0 122 ADC 192.168.16.0/26 192.168.16.1 vlan16 0 123 A S 192.168.16.64/26 172.16.0.12 1 124 ADo 192.168.17.0/24 10.1.2.18 110 125 X S 192.168.17.0/24 172.16.0.12 1 126 ADo 192.168.18.0/24 10.1.2.2 110 127 ADC 192.168.19.0/27 192.168.19.1 vlan19 0 128 A S 192.168.19.32/27 172.16.0.12 1 129 ADo 192.168.20.0/24 10.1.2.6 110 130 ADo 192.168.22.0/24 10.1.2.10 110 131 ADo 192.168.23.0/24 10.1.2.38 110 132 ADC 192.168.24.0/24 192.168.24.1 vlan24 0 133 ADo 192.168.31.0/24 10.1.2.30 110 134 ADC 192.168.0.0/21 192.168.0.1 bridge1-LAN 0 135 S 192.168.89.0/24 10.1.1.45 1 136 ADC 192.168.100.0/24 192.168.100.1 vlan100 0/routing ospf route print # DST-ADDRESS STATE COST GATEWAY INTERFACE 0 10.0.2.8/30 ext-1 30 10.1.4.2 ipip-tunnel16 1 10.1.4.0/30 intra-area 10 0.0.0.0 ipip-tunnel16 2 192.168.0.0/24 ext-1 30 10.1.4.2 ipip-tunnel16 3 192.168.1.0/24 intra-area 20 10.1.4.2 ipip-tunnel16 4 192.168.2.0/24 ext-1 30 10.1.4.2 ipip-tunnel16 5 10.1.2.0/30 intra-area 10 0.0.0.0 ipip-tunnel1 6 10.1.2.4/30 intra-area 10 0.0.0.0 ipip-tunnel2 7 10.1.2.8/30 intra-area 10 0.0.0.0 ipip-tunnel3 ........
для R2 будут завтра
-
Это не оператор, просто партнер по бизнесу, возникла необходимость добираться до ресурсов их сетей (port-forwarding не предлагать!!!!), WAN'ы всех роутеров подключены по оптике через медиаконвертеры, провайдер везде один и тот же. Что еще интересует?
-
Конечно: point-to-point, проблема в том, что как только со стороны R4 помещаешь интерфейс туннеля в VRF, то у него маршруты появляются, но пропадают со стороны R2, а если не ставить интерфейс в VRF, то наоборот, сетка 192.168.24/0 появляется в маршрутах на R1-R2-R3,но на R4 их сети пропадают
-
7 часов назад, DAF сказал:
ИМХО, в данной схеме для R4 имеет смысл маску поуже сделать: /21 --> /22.
(Если конечно где-то подсети 192.168.4.0/24 --:-- 192.168.7.0/24 не прилеплены).
Меньше места для бродкаста.
К сожалению, подсети используются вплоть до 192.168.6.0/24, Вообще, надо бы уходить уже в диапазон 172.16.0.0/21, но по политическим причинам это сделать пока не удается.
Конфиг роутера R2:
/routing ospf instance set [ find default=yes ] redistribute-other-ospf=as-type-1 router-id=10.1.2.58 add name=vrf-ospf1 redistribute-other-ospf=as-type-1 redistribute-rip=as-type-1 router-id=10.1.4.2 use-dn=no /routing ospf area add area-id=192.168.24.0 instance=vrf-ospf1 name=VRF1_area /routing ospf network add area=VRF1_area network=192.168.1.0/24 add area=VRF1_area=10.1.4.0/30 /ip address .... add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0 add address=10.1.4.2/30 interface=ipip-tunnel3 network=10.1.4.0 -
29 минут назад, VolanD666 сказал:
Дык, а что не получается то? Вы все правильно расписали. Запихиваете это все в отдельный псевдо-ВРФ на микротике и фперед, в чем проблема?
Со стороны R4 все пучком - маршруты появляются в отдельной VRF, со стороны R1-R2-R3 моя сетка не анонсится, естественно, под это дело выделена другая сеть - 192.168.24.0/24 и она прописана в OSPF
Со стороны R4:
/ip route vrf add interfaces=ipip-tunnel16 routing-mark=VRF1_r /routing ospf instance set [ find default=yes ] redistribute-other-ospf=as-type-1 use-dn=no add name=ospf1 redistribute-other-ospf=as-type-1 router-id=10.1.4.1 routing-table=VRF1_r use-dn=no /routing ospf area ..... add area-id=192.168.24.0 instance=ospf1 name=vrf-area1 /ip address export /ip address .... add address=192.168.24.1/24 comment="VRF1" interface=vlan24 network=192.168.24.0 add address=10.1.4.1/30 interface=ipip-tunnel16 network=10.1.4.0
Вопрос в том, что нужно прописать со стороны R2? Конфиг R2 могу выложить только завтра
-
Опубликовано · Изменено пользователем pin · Жалоба на ответ
Всем здравия!
Собственно проблема: нужно настроить на микротике связку: RIP->OSPF (VRF). На схеме все роутеры соединены между собой IPIP-туннелями. Между роутерами R1-R2-R3 поднят RIP, там управляет другой админ, R4 - мой роутер. Поскольку адресное пространство одинаково. понимаю, что необходимо использовать VRF, причем делать несколько OSPF-инстансов, каждый из которых будет работать для своей VRF-таблицы. Мне необходимо сделать доступ ксетям, обслуживаемыми роутерами R1-R2-R3. Ссылки на разбор соответствующих примеров приветствуются.
-
23 часа назад, jffulcrum сказал:
Попробуйте переделать Bridge в варианте из https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filtering
Спасибо, решение интересное, но на деле все оказалось проще - поменяли бракованный пачкорд и все заработало
-
Всем здравствуйте!
Имеем: MikroTik RB1100 AHx2. К нему подключены два сервера HP ProLiant DL160 G9. Серверные интерфейсы агрегированы через LACP, соответственно на микротике подняты bonding'и (две штуки, на каждую группу портов каждого из серверов). Bondingi. понятно, объединены в bridge. Для iLO используется shared port, поскольку выделенный отсутствует. Задача: сделать так, чтобы iLO работал через VLAN.
Как попытался реализовать: добавил vlan с тэгом 3 на бридже, присвоил ему адрес. В настройках iLO первого сервера указал, что испольуем shared port и vlan поставил в enable, тэг выставил, IP присвоил, все прекрасно заработало. На втором сервере с аналогичными настройками вышел затык. Получается, vlan надо размножить как-то на порты?
Конфигурация:
/interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether1 ] comment=ether1 name=WAN set [ find default-name=ether6 ] comment=app-srv-iface1 l2mtu=9489 mtu=9000 set [ find default-name=ether7 ] comment=app-srv-iface2 l2mtu=9489 mac-address=64:D1:54:73:E6:63 mtu=9000 set [ find default-name=ether8 ] comment=sql-srv-iface1 l2mtu=9489 mtu=9000 set [ find default-name=ether9 ] comment=sql-srv-iface2 l2mtu=9489 mac-address=64:D1:54:73:E6:65 mtu=9000 /interface vlan add comment="for iLO" interface=bridge1 name=vlan3 vlan-id=3 /interface bonding add comment=app-srv-bonding mode=802.3ad mtu=9000 name=bonding1 slaves=ether6,ether7 add comment=sql-srv-bonding mode=802.3ad mtu=9000 name=bonding2 slaves=ether8,ether9 /interface bridge port add bridge=bridge1 interface=bonding1 add bridge=bridge1 interface=bonding2 -
export compact с обоих в таком случае покажите
при выполнении команды export compact file=router.bak связь с микротиком рвется и файл не создается :(( Аппаратный глюк? Прошивка тоит последняя - 6.39.2 так же пробовал подключаться ноутом непосредственно в микротик, результат тот же.
-
pin, во-первых оцените надежность "соединения типа мост" при падении любого из провайдеров. Будет ли оно доступно?
Затем гуглите "mikrotik recursive routing wiki", "mikrotik scripting".
Забыл упомянуть - соединение типа мост осуществляется через радиоканал и, как показала практика, вполне надежно при падении любого из провайдеров. А можно обойдтись без скриптов, использую check gateway=ping?
-
Думайте в другую сторону.
Создать второй дефолтный маршрут на микротике через другой микротик и скриптом переключать шлюз при пропадании основного провайдера.
На другом микротике сделать тоже самое и тогда на клиентских ПК ничего изменять не придется
Была такая реализация: добавил второй дефолтный маршрут через другой микротик с distance=2, check gateway=ping. Проблема в том, что как только первый дефолтный шлюз падает, через второй дефолтный маршрут доступ к интернету происходит очень-очень медленно: Speedtest выдает что-то около 30-45 Кб :(((, причем в том случае, микротики были соединены между собой по гигабитному каналу
Фильтрация входящих маршрутов на FRR
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
Я сделал вот так:
router ospf ospf router-id 172.17.0.33 network 10.2.0.0/30 area 0 network 10.2.1.0/30 area 0 network 172.17.0.32/30 area 1 area 0 filter-list prefix 1 in ! ip prefix-list 1 seq 5 permit 172.17.0.0/28 ip prefix-list 1 seq 10 deny anyто есть хочу, чтобы показывало только маршрут до 172.17.0.0/28. Не работает :((