Serejka Posted December 16, 2015 · Report post Есть схема. Juniper MX80 border <--> Mikrotik CCR1036 BRAS <--> Clients Начали выдавать белые адреса через pppoe (типа ip unnumbered). Для mikrotik MX80 является маршрутом последней надежды. MX80 статикой знает какие сетки нужно видеть через Mikrotik. Если сессия поднята белый адрес на микротике connected - всё работает отлично. Если сессии нет, mx80 маршрутизирует на микротан, тот в свою очередь ничего не знает об адресе назначения и по маршруту последней надежды отвозит пакет назад на MX. Меня само собой такая ситуация не устраивает и думаю над тем как красиво выйти из ситуации. Интересует опыт коллег, может кто-то что-нибудь дельное может посоветовать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sacrament Posted December 16, 2015 · Report post Динамическая маршрутизация? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted December 16, 2015 · Report post Динамическая маршрутизация? Как вариант рассматриваю, но у микротика целый вагон устаревших технологий. Вот из соседней темы новый перл Сааба Вот вот, нужно просто понимать как работает OSPF и не настраивать, не включать не нужные вещи на роутерах, которые не должны обрабатываться для целей OSPF. И если используете OSPF на микротике, то в сети должны быть только одни микротики, и связи через коммутаторы нужно свести к минимуму, т.к. все проблемы с OSPF, которые встречаются, связаны с не верно работающей средой передачи между микротиками, когда связь идет через коммутаторы, либо радиоканалы на убнт и прочем оборудовании. Очевидно, что отказываться от нормального оборудования и городить всё на софтроутерах от микротика со схемой "без свичей" мы не горим желанием)... А как на СОРМ зеркалировать... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted December 16, 2015 · Report post В null0 заверните весь префикс. Т.е. на mx 80 - route 15.1.0.0/24 over mikrotik на mikro - route 15.1.0.0/24 over null0 Всё что будет коннектед, будет иметь more specific префикс, всё остальное зарубится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted December 16, 2015 · Report post В null0 заверните весь префикс. Т.е. на mx 80 - route 15.1.0.0/24 over mikrotik на mikro - route 15.1.0.0/24 over null0 Всё что будет коннектед, будет иметь more specific префикс, всё остальное зарубится. В теории блин всё хорошо, но чего-то это поделие в null не отправляет... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted December 16, 2015 · Report post Заработал вариант add distance=1 dst-address=x.x.x.x/xx type=unreachable Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 16, 2015 · Report post Не верно делаете. Сейчас у вас есть определенные белые подсети с маской /24 или более, которые вы с бордера маршрутизируете на микротик. Если на микротике адрес абонента не активен, то бордер отправляет на микротик запрос, микротик не видит у себя этого адреса, и перенаправляет его через дефолтный маршрут обратно на бордер. Что бы такой ерунды не происходило, вам нужно создать маршрут или маршруты на все ваши белые сети с маской /24 (или более, чем /32), на какой-то адрес, который точно ничего возвращать обратно не будет, например на другой микротик. Тогда если придет пакет от бордера на адрес, которого нет в списке подключенных абонентов, то микротик его перенаправит в никуда, при этом не потребуется создавать кучу записей в маршрутах. Другой вариант, зарубить на бордере все, что идет от микротика, и при этом у данных src.address не равен вашим белым адресам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 17, 2015 · Report post например на другой микротик ааааа Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted December 17, 2015 · Report post Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 17, 2015 · Report post Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты. Не просто дропает, а сообщает, что пакет был отброшен, тогда сразу понятно, что абонент не подключен. Если основной микротик будет просто их дропать, тогда не ясно в чем проблема, или абонент не подключен, либо до него связь отсутствует и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 17, 2015 · Report post Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты. Не просто дропает, а сообщает, что пакет был отброшен, тогда сразу понятно, что абонент не подключен. Если основной микротик будет просто их дропать, тогда не ясно в чем проблема, или абонент не подключен, либо до него связь отсутствует и т.п. Вообще то приличный роутер и так шлет ICMP unreachable, и этот "стандартный функционал" дополнительно отключают чтобы control-plane не грузить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 17, 2015 · Report post Route flags ... blackhole (B) Silently discard packet forwarded by this route. unreachable (U) Discard packet forwarded by this route. Notify sender with ICMP host unreachable (type 3 code 1) message. prohibit (P) Discard packet forwarded by this route. Notify sender with ICMP communication administratively prohibited (type 3 code 13) message. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 17, 2015 · Report post Похоже микротик хорошо умеет генерить icmp) послать паре абонентов по 50 Мбит и микротик в тыкву превратится Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h1vs2 Posted December 17, 2015 · Report post Что бы такой ерунды не происходило, вам нужно создать маршрут или маршруты на все ваши белые сети с маской /24 (или более, чем /32), на какой-то адрес, который точно ничего возвращать обратно не будет, например на другой микротик. Тогда если придет пакет от бордера на адрес, которого нет в списке подключенных абонентов, то микротик его перенаправит в никуда, при этом не потребуется создавать кучу записей в маршрутах. made my day. Это уже совершенно новый уровень продаж, постучался снизу, так сказать. 2 Serejka. Как по мне правильно сделать следующее : На микротике маршрут в null На mx80 убрать роут на микротик Использовать динамическую маршрутизацию : отдавать по OSFP, IBGP(я бы его выбрал) connected роуты c mikrotik на mx80 А вообще как по мне намного лучше было бы терминировать этих абонентов через SM на MX80. И был бы не "bras", а bras :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ikiliikkuja Posted December 17, 2015 · Report post Saab95 Гениально! Мои искренние аплодисменты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted December 19, 2015 · Report post Не верно делаете. Вы хотите сказать, что: add distance=1 dst-address=x.x.x.x/xx type=unreachable Не отправляет пакеты в discard, а просто меняет icmp-reply, и на самом деле пакет отбегает весь TTL между железками? Похоже микротик хорошо умеет генерить icmp) послать паре абонентов по 50 Мбит и микротик в тыкву превратится я сам когда увидел просто офигел. Отдельное спасибо руководству, которое сказало переходим на "железные решения". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...