Jump to content
Калькуляторы

Mikrotik выдача белых IP в pppoe и L3 петля

Есть схема.

 

Juniper MX80 border <--> Mikrotik CCR1036 BRAS <--> Clients

 

Начали выдавать белые адреса через pppoe (типа ip unnumbered).

Для mikrotik MX80 является маршрутом последней надежды. MX80 статикой знает какие сетки нужно видеть через Mikrotik.

 

Если сессия поднята белый адрес на микротике connected - всё работает отлично.

Если сессии нет, mx80 маршрутизирует на микротан, тот в свою очередь ничего не знает об адресе назначения и по маршруту последней надежды отвозит пакет назад на MX.

 

 

Меня само собой такая ситуация не устраивает и думаю над тем как красиво выйти из ситуации.

Интересует опыт коллег, может кто-то что-нибудь дельное может посоветовать?

Share this post


Link to post
Share on other sites

Динамическая маршрутизация?

 

Как вариант рассматриваю, но у микротика целый вагон устаревших технологий.

 

 

Вот из соседней темы новый перл Сааба

Вот вот, нужно просто понимать как работает OSPF и не настраивать, не включать не нужные вещи на роутерах, которые не должны обрабатываться для целей OSPF. И если используете OSPF на микротике, то в сети должны быть только одни микротики, и связи через коммутаторы нужно свести к минимуму, т.к. все проблемы с OSPF, которые встречаются, связаны с не верно работающей средой передачи между микротиками, когда связь идет через коммутаторы, либо радиоканалы на убнт и прочем оборудовании.

 

Очевидно, что отказываться от нормального оборудования и городить всё на софтроутерах от микротика со схемой "без свичей" мы не горим желанием)... А как на СОРМ зеркалировать...

Share this post


Link to post
Share on other sites

В null0 заверните весь префикс.

Т.е.

на mx 80 - route 15.1.0.0/24 over mikrotik

на mikro - route 15.1.0.0/24 over null0

 

Всё что будет коннектед, будет иметь more specific префикс, всё остальное зарубится.

Share this post


Link to post
Share on other sites

В null0 заверните весь префикс.

Т.е.

на mx 80 - route 15.1.0.0/24 over mikrotik

на mikro - route 15.1.0.0/24 over null0

 

Всё что будет коннектед, будет иметь more specific префикс, всё остальное зарубится.

 

В теории блин всё хорошо, но чего-то это поделие в null не отправляет...

Share this post


Link to post
Share on other sites

Не верно делаете.

 

Сейчас у вас есть определенные белые подсети с маской /24 или более, которые вы с бордера маршрутизируете на микротик.

Если на микротике адрес абонента не активен, то бордер отправляет на микротик запрос, микротик не видит у себя этого адреса, и перенаправляет его через дефолтный маршрут обратно на бордер.

Что бы такой ерунды не происходило, вам нужно создать маршрут или маршруты на все ваши белые сети с маской /24 (или более, чем /32), на какой-то адрес, который точно ничего возвращать обратно не будет, например на другой микротик.

 

Тогда если придет пакет от бордера на адрес, которого нет в списке подключенных абонентов, то микротик его перенаправит в никуда, при этом не потребуется создавать кучу записей в маршрутах.

 

Другой вариант, зарубить на бордере все, что идет от микротика, и при этом у данных src.address не равен вашим белым адресам.

Share this post


Link to post
Share on other sites

Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты.

Share this post


Link to post
Share on other sites

Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты.

 

Не просто дропает, а сообщает, что пакет был отброшен, тогда сразу понятно, что абонент не подключен.

Если основной микротик будет просто их дропать, тогда не ясно в чем проблема, или абонент не подключен, либо до него связь отсутствует и т.п.

Share this post


Link to post
Share on other sites

Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты.

 

Не просто дропает, а сообщает, что пакет был отброшен, тогда сразу понятно, что абонент не подключен.

Если основной микротик будет просто их дропать, тогда не ясно в чем проблема, или абонент не подключен, либо до него связь отсутствует и т.п.

 

Вообще то приличный роутер и так шлет ICMP unreachable, и этот "стандартный функционал" дополнительно отключают чтобы control-plane не грузить.

Share this post


Link to post
Share on other sites

Route flags

...

blackhole (B) Silently discard packet forwarded by this route.

 

unreachable (U) Discard packet forwarded by this route. Notify sender with ICMP host unreachable (type 3 code 1) message.

 

prohibit (P) Discard packet forwarded by this route. Notify sender with ICMP communication administratively prohibited (type 3 code 13) message.

Share this post


Link to post
Share on other sites

Что бы такой ерунды не происходило, вам нужно создать маршрут или маршруты на все ваши белые сети с маской /24 (или более, чем /32), на какой-то адрес, который точно ничего возвращать обратно не будет, например на другой микротик.

Тогда если придет пакет от бордера на адрес, которого нет в списке подключенных абонентов, то микротик его перенаправит в никуда, при этом не потребуется создавать кучу записей в маршрутах.

 

made my day. Это уже совершенно новый уровень продаж, постучался снизу, так сказать.

 

 

 

 

2 Serejka. Как по мне правильно сделать следующее :

 


     
  • На микротике маршрут в null
  • На mx80 убрать роут на микротик
  • Использовать динамическую маршрутизацию : отдавать по OSFP, IBGP(я бы его выбрал) connected роуты c mikrotik на mx80
     

 

А вообще как по мне намного лучше было бы терминировать этих абонентов через SM на MX80. И был бы не "bras", а bras :)

Share this post


Link to post
Share on other sites

Не верно делаете.

 

Вы хотите сказать, что:

add distance=1 dst-address=x.x.x.x/xx type=unreachable

 

Не отправляет пакеты в discard, а просто меняет icmp-reply, и на самом деле пакет отбегает весь TTL между железками?

 

Похоже микротик хорошо умеет генерить icmp) послать паре абонентов по 50 Мбит и микротик в тыкву превратится

 

я сам когда увидел просто офигел. Отдельное спасибо руководству, которое сказало переходим на "железные решения".

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.