KuraiNeko

Доброго дня с четверга приключилась беда. Не могу понять в чем и как кроется решение. Микро, 3 интерфейса смотрят во внешку, 2 от 1го провайдера и 1 от другого. В один прекрасный момент начинаются просадки по пакетам. задержки, потери. Интерфейс 1 - провайдер а основной - через который натим инет в локаль и на котором сидят магазы находящиеся на провайдере а через ГРЕ инт 2ой - локальный интерфейс 3ий уходит вланом, натит на фряху за ним инт 4 - другой провайдер, использую для туннелирования с магазами сидящими на нем-же С определенного момента начались непонятные провалы. Связь через фряху - на ура - т-е мой комп тыкается на шлюз - фряху, та через 2ой интерфейс на 3 порт микротика, далее по влану на провайдера и в глобал. Пинги с интерфейсов 1-3 на глобал и с глобала - идеальные. Затык с локальным интерфейсом. Гашу порты провайдера - 0 реакции, оффаю все туннели - 0 реакции. Откидываю фряху - пинги на интерфейс < 1 секунды. Подключаю фряху по локальному инту - короткий промежуток времени все работает гладко, после этого интерфейс опять начинает забиваться. В арп таблице значений от 40 до 400 в зависимости от времени суток. Загрузка КПУ - незначительная, загрузка интерфейса - незначительная. Уже и не знаю как дорыться до правды - в чем засер интерфейса. Нужен овермайнд

Спасибо, просто арп был на интерфейсе, решено

Соответственно локал адрес - шлюзовой. Ремут адрес - свободный, который получает клиент. Остальные подсети видит, конфликтов нет. Клиент поднимается в заданном ИП (120) В адресах поднимается по записи - 200.1.1.120/32 Все остальные серые подсети доступны - окромя 200ой. В фаере запретительных правил нет. Ставить другую серую подсеть пробовал, результат тот-же.

Странное поведение наблюдаю на свежеподнятом впн Завел настройки, ВПН поднимается, клиент получает необходимый ИП адрес. однако домашний диапазон адресов не пингуется. Чтобы было нагляднее. 200.1.1.0/24 - пулл адресов анонсированных в локаль для микротика, 200.1.1.111 - сам микротик на ез2, сам микротик из двухсотой сети доступен. равно как с интерфейса ез2 средствами тулкита все пингуется во все доступно и пингуется во все стороны без проблем. Имеется еще большая куча разных пуллов серых подсетей, все доступны. серые подсети разного формата. и на 10. и на 192, роли не влияет. Пользователь подключается по выданному профилю настроек. Локальный адрес по впну получает из этой-же подсети 200.1.1.120 (можно и из другой, смысл от этого не меняется.) Локал адрес у клиента обозначен 200.1.1.111. доступны все серые подсети и на 10. и на 192. кроме 200.1.1.0/24 Мистика какая-то, нужна помощь гуру

Дано - ряд магазинов в своих серых подсетях, через ГРЕ шагают в центральный узел, где стояла 800ая мертвая кошка, и сменена ныне на микротик. Через серую подсеть шлюзуются фряхой и натятся через 2ой интерфейс фряхи в глобал, с использованием прокси - сквид. Есть ряд внешних ИП, - айпишники банковских серверов. И куча пос терминалов на магазах. Суть - при обращении любого из ПК с серого диапазона - траффик адресованный на ип банка должен заруливаться комутером минуя всю систему лишнего наттинга. На кошке данные вещи через ацесс лист сделаны. access-list 1 permit tcp 10.0.0.0 0.255.255.255 host 1.1.1.1 eq 1 Средствами чего подобное можно разрулить на микротике. Пробовал правилами фаера, но не вышло.

Дано. Ряд магазинов работающих через ГРЕ туннели связанные с центральным микротиком. Ряд терминалов работающих с банками. Все серые подсети разруливаются наттингом через фряху. Серая магазина y.y.y.0/24 - gre (c z.z.z.0 на x.x.x.5) gre - q.q.q.0/24(серая офиса) - выход на наттинг через 2ую сетевуху во внешку x.x.x.1 Что надо - у.у.у.0/24 пройдя через туннель на центральный микротик при зарпосе выхода на определенный ИП внешки не заруливался во внутреннюю сеть на стандартный наттинг а шел сразу напрямую через внешний интерфейс. На циску заварачивалось это через acess list. access-list 1 permit tcp y.0.0.0 0.255.255.255 host 1.1.1.1 eq 1 Какие аналоги есть на микротике

Вернулся с командировки и снова полез в сеть с головой, нарыл в чем трабла, само ПППОЕ никак не влияет на поднятие туннеля, проблема в том что с 800х мертвых кошек туннель поднимался с ключем безопасности. Однако с IPsec Secret подружить это дело не удается, хотя ключ указываю идентичный.

x.x.x.5(статика основной канал)+ gre - y.y.y.1 <-> gre - y.y.y.2 + cisco dialler 1 z.z.z.1 - не пашет Все анонсировано, для сетей обозначено руками, что они должны увидеть на другом конце, и серые сети за туннелями тоже, но их даже не имеет смысла рассматривать пока. для х.х.х.5 - z.z.z.1 доступен без проблем, в обратную сторону так-же с х.х.х.5 видно у.у.у.1 но у.у.у.2 не респонзится. с z.z.z.1 видно у.у.у.2 но у.у.у.1 не респонзится x.x.x.5 + gre - y.y.y.1 <-> gre - y.y.y.2 + pppoe mikrotik\OWRT - без проблем.

Возникла дополнительная беда. Из листа туннелей имеются 4 поднятых на пппое cisco. Поднято все через диаллер, как обычно. Через диаллер интерфейсы заведены туннели на микротик. Сама кошка доступна, инт поднят, при поднятых ГРЕ кошка статика на кошка диаллер - все работает нормально. При поднятом гре-микротик на гре-диаллер-кошки, туннель не поднимается нормально. Локальный ип присвоенный туннелю с самих комутеров пингуется без проблем, дальний конец туннеля не респонзится. При этом туннели поднятые на пппое микротиков или опенвртах работают в обе стороны корректно. По хорошему 800х кошек полумертвых пора менять, однако до того как предприятие на это разродится не плохо бы заставить все это работать по текущей позиции.

1 - бриджуйте только влан 2 - переносите дхцп на бридж

Всем спасибо за советы. сегодня днем на горячую разрулил задачу. интерфейсу eth1 присвоил x.x.x.5 на eth1 создал vlan отдающий в ацесс на пров сторону. Сбриджил влан с eth3 и присвоил на бридж ip x.x.x.2 за бридженным вланом как итог стоит фряха. Результат. Все туннели поднялись как положено на eth1 и работают с локальными подсетями воткнутыми в eth2 - y.y.y.110. Фряха всех пришедших ловит как шлюзовая на свой серый интерфейс y.y.y.200 и натит через белый интерфейс x.x.x.1 - по шлюзовому x.x.x.2 влану уходящему дальше в провайдерский ацесс. Все что требовалось поднялось и заработало как часики.

И тут возник адов затык, курю конфиги. выходит лажа. Через IP x.x.x.5 - поднято 3 десятка туннелей, по которым гоняются всякие обработки сок, терминальных ферм, видеонаблюдения итд. Они связывают серые сети, и по большей части проходят через сеть провайдера. IP x.x.x.2 является шлюзовым для x.x.x.1 (фряхи), фряха же является шлюзом через второй интерфейс y.y.y.200 для всей серой подсети и натит внешку через интерфейс х.х.х.1 + выставляет во внешку CG и еще пару сервисов. На 800ой циске все довольно просто конфигурилось, с микротиком прям ступор. Бриджую 1 и 3 порты, вешаю на бридж 2 ip х.2 и х.5. Внутряк до шлюза провайдера х.6 гоняется на ура. Однако все туннели валятся сразу-же после бриждевания и подниматься не хотят. Если же порты не бриджевые и на eth1 навешен х.х.х.5 то все туннели поднимаются отлично но вся внешка + почтарь коту под хвост. Не хотелось бы ставить костыли в виде неруля между микротиком и медюком. Но если не заставить работать туннели как надо, то видимо придется ставить неруль с которого будет 2 корда в 1 порт и 3 порт, 3 порт бриджевать с 4 уходящим на фрю, а 1ый оставлять чисто с прикрученным к интерфейсу адресом. В общем каша какая-то в голове, подскажите куда читать, в какую сторону рыть

Спасибо за наставление, однако как в таком случае завести в одну подсеть и заставить работать 2 интерфейса микротика и ип за ним. На циске реализация через влан, заведенный влан с присвоенным ип х.х.х.2 и прикрепленным на 2 интерфейс через свитчпорт. И ип х.х.х.1 на фряхе висящей с этого порта, и все работало без проблем. Однако в случае с микротиком создаю влан, присваиваю ему ип х.х.х.2, вешаю на интерфейс eth3, присваиваю устройству сидящему на этом порту ип х.х.х.1 и пакеты не гуляют между 3 интерфейсом и рабочей машиной, вообще не в какую. Вот и думал решить это с помощью бриджа или как еще. Буду благодарен за помощь. х.х.х.5 на 1 порту физ интерфейса, х.х.х.2 в провайдерском влане на 3 порту, или его аналоге равно как и х.х.х.1 находящийся за этим портом.

Доброго времени суток. Возникла небольшая загвоздка всвязи с переездом на новый комутер. Имеем следующий момент. Арендуем у провайдера 3 внешних ип адреса. x.x.x.5, x.x.x.2, x.x.x.1 и пулл внутренних. y.y.y.0/24 1---------------------- завожу основной провайдерский ип - x.x.x.5 на интерфейс eth1 вешаю серый ип на интерфейс eth2 и анонсирую за ним подсеть. Завожу порядка 50 туннелей на интерфейсе eth1, исходя из необходимости построенного ТЗ и анонсирую их все. Из серой подсети с интерфейcа eth2 все туннели видно, все подсети за ними так-же все работает. 2-------------------------- вешаю провайдерский ип на фряху с поднятым CG и остальными службами. который обязательно должен висеть в инет под своим ип. x.x.x.1 завожу на eth3 ип x.x.x.2 который является в нагрузку шлюзовым для фряхи. фряха пингуется с микро с интерфейса 3 на ура, из фряхи eth3 пингую на ура. eth1 и eth3 друг друга не видят естественно. 3------------------------ Бриджую eth1 и eth3 порты. и тут ловлю отвал. eth1 перестает пинговаться из внешки, eth3 с фряхи, ну и соответственно с самого комутера пинги во внешку и на фряху пропадают так-же. Поясните пожалуйста в чем собака зарыта и где загвоздка.