Jump to content
Калькуляторы

Alexey_G

Пользователи
  • Content Count

    17
  • Joined

  • Last visited

About Alexey_G

  • Rank
    Абитуриент
  1. Да, это вариант Попробую снизить MTU и помониторить
  2. Да, оно заполнено, забыл указать: Центр: /routing ospf instance set [ find default=yes ] distribute-default=if-installed-as-type-1 redistribute-connected=as-type-1 redistribute-other-ospf=as-type-1 \ redistribute-rip=as-type-1 router-id=1.1.1.100 Филиал: /routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 router-id=172.17.18.2 Это вынужденная мера, т.к. пропускная способность каждого из внешних каналов в центре меньше суммарно необходимой всем филиалам. Т.е. лучше переделать: завести loopback с виртуальными адресами и назначить из в качестве RouterID?
  3. Добрый день. Есть головной офис с установленным RB1100AHx2, к нему подключаются удаленные филиалы, где тоже установлены MT. Подключение выполняется по L2TP/IPsec. В центральный офис заведено два внешних канала с белыми IP, и каждый удаленный филиал поднимает два канала в сторону центрального офиса для резервирования. При этом у каждого канала в сторону центрального офиса своя подсеть: 172.17.18.0/25 и 172.17.19.0/25 для балансировки между каналами (у одних филиалов по умолчанию трафик идет через один внешний канал центрального офиса, у других через другой). Поверх всего этого настроен OSPF, все вроде работает, но периодически возникает проблема связанная с тем, что состояние соседей переходит в статус "exchange", при этом в логах куча одинаковых сообщений: route,ospf,info OSPFv2 neighbor 1.1.1.100: state change from Full to 2-Way route,ospf,info Database Description packet has different master status flag route,ospf,info new master flag=false Проблема может быть как на одном, так и на обоих интерфейсах, поднятых в сторону центрального офиса. Конфигурация центрального MT: /ip pool add name=pool-l2tp-vpn-ch2 ranges=172.17.18.1-172.17.18.126 add name=pool-l2tp-vpn-ch1 ranges=172.17.19.1-172.17.19.126 /ppp profile add local-address=172.17.18.1 name=pr-l2tp-vpn-ch2 remote-address=pool-l2tp-vpn-ch2 add local-address=172.17.19.1 name=pr-l2tp-vpn-ch1 remote-address=pool-l2tp-vpn-ch1 /interface l2tp-server server enabled: yes max-mtu: 1450 max-mru: 1450 mrru: disabled authentication: mschap2 keepalive-timeout: 30 max-sessions: unlimited default-profile: pr-l2tp-vpn-ch2 use-ipsec: yes ipsec-secret: ******* caller-id-type: ip-address one-session-per-host: no allow-fast-path: no /routing ospf network add area=backbone network=172.17.18.0/25 add area=backbone network=172.17.19.0/25 /routing ospf interface add cost=5 interface=l2tp-mof2-ch2 network-type=point-to-point add interface=l2tp-mof2-ch1 network-type=point-to-point Настройки филиала: /interface l2tp-client add allow=mschap2 connect-to=srv1.ru disabled=no ipsec-secret="****" max-mtu=1450 name=l2tp-mo-ch1 password="****" use-ipsec=yes user=mof2-ch1 add allow=mschap2 connect-to=srv2.ru disabled=no ipsec-secret="****" max-mtu=1450 name=l2tp-mo-ch2 password="****" use-ipsec=yes user=mof2-ch2 /routing ospf network add area=backbone network=172.17.18.0/25 add area=backbone network=172.17.19.0/25 /routing ospf interface add cost=5 interface=l2tp-mo-ch2 network-type=point-to-point add interface=l2tp-mo-ch1 network-type=point-to-point Включал логирование, ospf пакеты между маршрутизаторами ходят, по виду одинаковы (на 172.17.18.2 состояние Full, на 172.17.19.2 нет): route,ospf,debug RECV: Hello <- 172.17.19.1 on l2tp-mo-ch1 (172.17.19.2) ... route,ospf,debug RECV: Hello <- 172.17.18.1 on l2tp-mo-ch2 (172.17.18.2) ... route,ospf,debug SEND: Hello 172.17.19.2 -> 224.0.0.5 on l2tp-mo-ch1 ... route,ospf,debug SEND: Hello 172.17.18.2 -> 224.0.0.5 on l2tp-mo-ch2 ... route,ospf,debug RECV: Hello <- 172.17.19.1 on l2tp-mo-ch1 (172.17.19.2) ... route,ospf,debug RECV: Hello <- 172.17.18.1 on l2tp-mo-ch2 (172.17.18.2) ... route,ospf,debug SEND: Hello 172.17.19.2 -> 224.0.0.5 on l2tp-mo-ch1 ... route,ospf,debug SEND: Hello 172.17.18.2 -> 224.0.0.5 on l2tp-mo-ch2 ... route,ospf,debug RECV: Hello <- 172.17.19.1 on l2tp-mo-ch1 (172.17.19.2) ... route,ospf,debug RECV: Hello <- 172.17.18.1 on l2tp-mo-ch2 (172.17.18.2) Проблема сама уходит, либо с перезагрузкой коммутатора, либо перезапуском интерфейса, либо сама собой. Правильна ли такая схема настройки? И как можно диагностировать причину проблем с OSPF? Версии ROS одинаковы (для приведенного примера): 6.40.3 Спасибо
  4. Проблема действительно была в перемаркировке. Только цепочка была не forward, а postrouting. Спасибо!
  5. Fasttrack был отключен давно: /ip settings pr ip-forward: yes send-redirects: yes accept-source-route: no accept-redirects: no secure-redirects: yes rp-filter: no tcp-syncookies: no max-neighbor-entries: 8192 arp-timeout: 30s icmp-rate-limit: 10 icmp-rate-mask: 0x1818 route-cache: yes allow-fast-path: yes ipv4-fast-path-active: no ipv4-fast-path-packets: 0 ipv4-fast-path-bytes: 0 ipv4-fasttrack-active: no ipv4-fasttrack-packets: 0 ipv4-fasttrack-bytes: 0
  6. Добрый день. Настраиваю Queue Tree и столкнулся со следующей проблемой: трафик не попадает в очередь. Конфигурация: /ip firewall address-list add address=192.168.17.201 list=srv_ippbx add address=172.17.16.0/24 list=net_vpn_usr add address=172.17.17.0/24 list=net_vpn_usr /ip firewall mangle add action=mark-packet chain=prerouting dst-address-list=net_vpn_usr new-packet-mark=igw-down-uvpn-ippbx passthrough=yes src-address-list=srv_ippbx /queue type add kind=pcq name=igw-down-uvpn-ippbx pcq-classifier=dst-address pcq-dst-address6-mask=64 pcq-src-address6-mask=64 /queue tree add max-limit=48M name=igw-down parent=global add max-limit=10M name=igw-down-uvpn parent=igw-down add limit-at=1M max-limit=5M name=igw-down-uvpn-ippbx packet-mark=igw-down-uvpn-ippbx parent=igw-down-uvpn priority=7 queue=igw-down-uvpn-ippbx Пакеты маркируются, это подтверждают как счетчики правила, так и логи. Указанное правило маркировки стоит последним, так что перемаркировываться эти пакеты тоже не должны. Но трафика в очереди нет. Как понять причину?
  7. Тема закрыта, провайдер резал у себя исходящие пакеты.
  8. Что-то стало проясняться, пакеты уходят с интерфейса Default маршрута, у которого не установлен Routing Mark. Вывел лог этого правила: add action=mark-routing chain=output connection-mark=conn-ISP1-1 new-routing-mark=route-ISP1-1 passthrough=yes log=yes log-prefix=out_log Вижу следующее: 10:07:07 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 10:07:12 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 10:07:17 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 10:07:23 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 Есть такой маршрут (без Routing Mark): /ip route add distance=1 gateway=YYY.YYY.1.208 Хотя нет, понятнее не стало, поставил логирование и второго правила (которое работает): add action=mark-routing chain=output connection-mark=conn-ISP1-1 new-routing-mark=route-ISP1-1 passthrough=yes log=yes log-prefix=out_log2 Вижу тоже самое: 10:22:36 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 10:22:37 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 10:22:38 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 10:22:39 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 Как определить путь пакетов?
  9. Есть MT, на который заведены каналы двух провайдеров. Одним из провайдеров выделено 2 белых IP из одной подсети. Проблема следующая: по одному IP все работает (XXX.XXX.62.131), а по второму нет (XXX.XXX.62.130). Настройки: /ip address add address=XXX.XXX.62.131/27 interface=vl-5-ISP1 network=XXX.XXX.62.128 add address=XXX.XXX.62.130/27 interface=vl-5-ISP1 network=XXX.XXX.62.128 /ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=XXX.XXX.62.130 in-interface=vl-5-ISP1 new-connection-mark=conn-ISP1-1 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=XXX.XXX.62.131 in-interface=vl-5-ISP1 new-connection-mark=conn-ISP1-2 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=vl-4-ISP2 new-connection-mark=conn-ISP2 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn-ISP1-1 passthrough=yes per-connection-classifier=src-address-and-port:2/0 src-address-list=local-all add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn-ISP2 passthrough=yes per-connection-classifier=src-address-and-port:2/1 src-address-list=local-all add action=mark-routing chain=prerouting connection-mark=conn-ISP1-1 dst-address-list=!private-ip new-routing-mark=route-ISP1-1 passthrough=yes src-address-list=private-ip add action=mark-routing chain=prerouting connection-mark=conn-ISP1-2 dst-address-list=!private-ip new-routing-mark=route-ISP1-2 passthrough=yes src-address-list=private-ip add action=mark-routing chain=prerouting connection-mark=conn-ISP2 dst-address-list=!private-ip new-routing-mark=route-ISP2 passthrough=yes src-address-list=private-ip add action=mark-routing chain=output connection-mark=conn-ISP1-1 new-routing-mark=route-ISP1-1 passthrough=yes add action=mark-routing chain=output connection-mark=conn-ISP1-2 new-routing-mark=route-ISP1-2 passthrough=yes add action=mark-routing chain=output connection-mark=conn-ISP2 new-routing-mark=route-ISP2 passthrough=yes /ip firewall nat add action=src-nat chain=srcnat out-interface=vl-5-ISP1 routing-mark=route-ISP1-1 to-addresses=XXX.XXX.62.130 add action=src-nat chain=srcnat out-interface=vl-5-ISP1 routing-mark=route-ISP1-2 to-addresses=XXX.XXX.62.131 add action=masquerade chain=srcnat out-interface=vl-4-ISP2 /ip route add check-gateway=arp distance=1 gateway=XXX.XXX.62.129 pref-src=XXX.XXX.62.130 routing-mark=route-ISP1-1 add check-gateway=arp distance=1 gateway=XXX.XXX.62.129 pref-src=XXX.XXX.62.131 routing-mark=route-ISP1-2 add distance=1 gateway=YYY.YYY.1.208 routing-mark=route-ISP2 add distance=1 gateway=YYY.YYY.1.206 routing-mark=route-ISP2 add distance=1 gateway=YYY.YYY.1.207 routing-mark=route-ISP2 add distance=1 gateway=YYY.YYY.1.209 routing-mark=route-ISP2 В /ip/firewall/connections вижу, что соединения маркируются правильно: - для XXX.XXX.62.130 маркируются conn-ISP1-1 - для XXX.XXX.62.131 маркируются conn-ISP1-2. Подскажите в какую сторону копать?
  10. Сами MT соеденены одним каналом. При туннельном режиме придется вообще в правилах прописать 0.0.0.0/0, т.к. весь трафик с MT2 будет проходить через MT1. Попробую в обоих режимах настроить и протестировать. Насколько я понял, если в src-address/dst-address прописать 0.0.0.0/0, то весь трафик, подпадающий под это условие уйдет в IPSec туннель, вне зависимости от настроек маршрутизации? Если так, то мне только транспортный режим подходит. Кстати, нашел почему не работала первоначальная конфигурация: /ip ipsec policy add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32 Т.е. IPSec внутри туннеля, а надо снаружи: /ip ipsec policy add dst-address=192.168.23.5/32 sa-dst-address=192.168.23.5 sa-src-address=192.168.23.6 src-address=192.168.23.6/32
  11. Спасибо, так заработало Сетей за MT1 и MT2 много, если в туннельном режме настраивать, то правила для каждого пересечения сетей прописывать или можно одним policy обойтись? Вроде такого: /ip ipsec policy add src-address=192.168.0.0/26 dst-address=192.168.0.0/26 action=encrypt tunnel=yes sa-src-address=192.168.23.5 sa-dst-address=192.168.23.6 А так, конечно не хочется производительность снижать.
  12. Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля. Да, хочу шифровать туннель. Но при попытке создания туннеля с ipsec-secret - ошибка: /interface ipip add local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 ipsec-secret=123 cannot enable fastpath together with ipsec yet Пробовал отключить fastpath в /ip settings - не помогло.
  13. Есть следующая схема: 192.168.17.0/24 - MT1 - VLAN провайдера - MT2 - 10.17.18.64/26 Настройки: MT1: /interface vlan add interface=lacp name=vl-101-lacp vlan-id=101 add interface=lacp name=vl-1480-lacp vlan-id=1480 /ip address add address=192.168.17.254/24 interface=vl-101-lacp network=192.168.17.0 add address=192.168.23.5/30 interface=vl-1480-lacp network=192.168.23.4 add address=192.168.23.9/30 interface=ipip-tun-1 network=192.168.23.8 /interface ipip add !keepalive local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 /routing ospf instance set [ find default=yes ] metric-other-ospf=30 redistribute-connected=as-type-1 /routing ospf interface add interface=ipip-tun-1 network-type=point-to-point /routing ospf network add area=backbone network=192.168.23.8/30 /ip ipsec peer add address=192.168.23.10/32 secret=111 /ip ipsec policy add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32 MT2: /interface vlan add interface=ether1 name=vl-1480-1 vlan-id=1480 add interface=ether3 name=vl-rpc3-1018 vlan-id=1018 /ip address add address=10.17.18.126/26 interface=vl-rpc3-1018 network=10.17.18.64 add address=192.168.23.6/30 interface=vl-1480-1 network=192.168.23.4 add address=192.168.23.10/30 interface=ipip-tun-1 network=192.168.23.8 /interface ipip add !keepalive local-address=192.168.23.6 name=ipip-tun-1 remote-address=192.168.23.5 /routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 /routing ospf interface add interface=ipip-tun-1 network-type=point-to-point /routing ospf network add area=backbone network=192.168.23.8/30 /ip ipsec peer add address=192.168.23.9/32 secret=111 /ip ipsec policy add dst-address=192.168.23.9/32 sa-dst-address=192.168.23.9 sa-src-address=192.168.23.10 src-address=192.168.23.10/32 Маршруты в удаленную сеть на MT1: /ip route> pr DST-ADDRESS PREF-SRC GATEWAY DISTANCE ADo 10.17.18.64/26 192.168.23.10 110 Маршруты в удаленную сеть на MT2: /ip route> pr DST-ADDRESS PREF-SRC GATEWAY DISTANCE ADo 192.168.17.0/24 192.168.23.9 110 Теперь ставлю эксперимент, на МТ1: /ip ipsec peer set 0 secret="1" Сети 192.168.17.0/24 - 10.17.18.64/26 доступны, 192.168.23.10 - 192.168.23.9 нет. Связь же должна пропасть или не прав? Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется? Как шифровать трафик в канале провайдера?
  14. Добрый день Есть несколько MT, соединенных в сеть. На всех настроен RIP для динамической маршрутизации. При этом есть необходимость фильтрации маршрутов в зависимости от подключенного MT. Например: Центральный MT (MTC) /export compact # may/13/2016 13:55:29 by RouterOS 6.35.2 # software id = 0XYZ-CFZR # /interface vlan add interface=ether1 name=vl-mtc-11 vlan-id=11 add interface=ether1 name=vl-mtc-12 vlan-id=12 add interface=ether1 name=vl-mtc-13 vlan-id=13 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /ip address add address=10.10.10.1/24 interface=ether1 network=10.10.10.0 add address=192.168.1.1/24 interface=vl-mtc-11 network=192.168.1.0 add address=192.168.2.1/24 interface=vl-mtc-12 network=192.168.2.0 add address=192.168.3.1/24 interface=vl-mtc-13 network=192.168.3.0 /routing filter add action=accept chain=rip-out prefix=192.168.1.0/24 add action=accept chain=rip-out prefix=192.168.2.0/24 add action=discard chain=rip-out /routing rip set redistribute-connected=yes redistribute-static=yes /routing rip interface add receive=v2 /routing rip network add network=10.10.10.0/24 /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 10.10.10.0/24 10.10.10.1 ether1 0 1 ADC 192.168.1.0/24 192.168.1.1 vl-mtc-11 0 2 ADC 192.168.2.0/24 192.168.2.1 vl-mtc-12 0 3 ADC 192.168.3.0/24 192.168.3.1 vl-mtc-13 0 4 ADr 192.168.10.0/24 10.10.10.2 120 5 ADr 192.168.20.0/24 10.10.10.2 120 6 ADr 192.168.30.0/24 10.10.10.2 120 7 ADr 192.168.100.0/24 10.10.10.3 120 8 ADr 192.168.200.0/24 10.10.10.3 120 9 ADr 192.168.250.0/24 10.10.10.3 120 MT1: /export compact # may/13/2016 13:58:35 by RouterOS 6.35.2 # software id = 0XYZ-CFZR # /interface vlan add interface=ether1 name=vl-mt1-101 vlan-id=101 add interface=ether1 name=vl-mt1-102 vlan-id=102 add interface=ether1 name=vl-mt1-103 vlan-id=103 /ip address add address=10.10.10.2/24 interface=ether1 network=10.10.10.0 add address=192.168.10.1/24 interface=vl-mt1-101 network=192.168.10.0 add address=192.168.20.1/24 interface=vl-mt1-102 network=192.168.20.0 add address=192.168.30.1/24 interface=vl-mt1-103 network=192.168.30.0 /routing rip set redistribute-connected=yes redistribute-static=yes /routing rip interface add receive=v2 /routing rip network add network=10.10.10.0/24 /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 10.10.10.0/24 10.10.10.2 ether1 0 1 ADr 192.168.1.0/24 10.10.10.1 120 2 ADr 192.168.2.0/24 10.10.10.1 120 3 ADC 192.168.10.0/24 192.168.10.1 vl-mt1-101 0 4 ADC 192.168.20.0/24 192.168.20.1 vl-mt1-102 0 5 ADC 192.168.30.0/24 192.168.30.1 vl-mt1-103 0 6 ADr 192.168.100.0/24 10.10.10.3 120 7 ADr 192.168.200.0/24 10.10.10.3 120 8 ADr 192.168.250.0/24 10.10.10.3 120 MT2: /export compact # may/13/2016 14:00:32 by RouterOS 6.35.2 # software id = 0XYZ-CFZR # /interface vlan add interface=ether1 name=vl-mt2-1001 vlan-id=1001 add interface=ether1 name=vl-mt2-1002 vlan-id=1002 add interface=ether1 name=vl-mt2-1003 vlan-id=1003 /ip address add address=10.10.10.3/24 interface=ether1 network=10.10.10.0 add address=192.168.100.1/24 interface=vl-mt2-1001 network=192.168.100.0 add address=192.168.200.1/24 interface=vl-mt2-1002 network=192.168.200.0 add address=192.168.250.1/24 interface=vl-mt2-1003 network=192.168.250.0 /routing rip set redistribute-connected=yes redistribute-static=yes /routing rip interface add receive=v2 /routing rip network add network=10.10.10.0/24 /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 10.10.10.0/24 10.10.10.3 ether1 0 1 ADr 192.168.1.0/24 10.10.10.1 120 2 ADr 192.168.2.0/24 10.10.10.1 120 3 ADr 192.168.10.0/24 10.10.10.2 120 4 ADr 192.168.20.0/24 10.10.10.2 120 5 ADr 192.168.30.0/24 10.10.10.2 120 6 ADC 192.168.100.0/24 192.168.100.1 vl-mt2-1001 0 7 ADC 192.168.200.0/24 192.168.200.1 vl-mt2-1002 0 8 ADC 192.168.250.0/24 192.168.250.1 vl-mt2-1003 0 Как можно ограничить передачу маршрутов, так, чтобы 192.168.1.0/24 пришел только на MT1, а 192.168.2.0/24 на MT2?
  15. Бридж создавался для тестов. Убрал VL_ISP2 из бриджа, соединение установилось, благодарю за помощь.