[Serejka]

Есть схема.

 

Juniper MX80 border <--> Mikrotik CCR1036 BRAS <--> Clients

 

Начали выдавать белые адреса через pppoe (типа ip unnumbered).

Для mikrotik MX80 является маршрутом последней надежды. MX80 статикой знает какие сетки нужно видеть через Mikrotik.

 

Если сессия поднята белый адрес на микротике connected - всё работает отлично.

Если сессии нет, mx80 маршрутизирует на микротан, тот в свою очередь ничего не знает об адресе назначения и по маршруту последней надежды отвозит пакет назад на MX.

 

 

Меня само собой такая ситуация не устраивает и думаю над тем как красиво выйти из ситуации.

Интересует опыт коллег, может кто-то что-нибудь дельное может посоветовать?

[Sacrament]

Динамическая маршрутизация?

[Serejka]

Динамическая маршрутизация?

 

Как вариант рассматриваю, но у микротика целый вагон устаревших технологий.

 

 

Вот из соседней темы новый перл Сааба

Вот вот, нужно просто понимать как работает OSPF и не настраивать, не включать не нужные вещи на роутерах, которые не должны обрабатываться для целей OSPF. И если используете OSPF на микротике, то в сети должны быть только одни микротики, и связи через коммутаторы нужно свести к минимуму, т.к. все проблемы с OSPF, которые встречаются, связаны с не верно работающей средой передачи между микротиками, когда связь идет через коммутаторы, либо радиоканалы на убнт и прочем оборудовании.

 

Очевидно, что отказываться от нормального оборудования и городить всё на софтроутерах от микротика со схемой "без свичей" мы не горим желанием)... А как на СОРМ зеркалировать...

[vurd]

В null0 заверните весь префикс.

Т.е.

на mx 80 - route 15.1.0.0/24 over mikrotik

на mikro - route 15.1.0.0/24 over null0

 

Всё что будет коннектед, будет иметь more specific префикс, всё остальное зарубится.

[Serejka]

В null0 заверните весь префикс.

Т.е.

на mx 80 - route 15.1.0.0/24 over mikrotik

на mikro - route 15.1.0.0/24 over null0

 

Всё что будет коннектед, будет иметь more specific префикс, всё остальное зарубится.

 

В теории блин всё хорошо, но чего-то это поделие в null не отправляет...

[Serejka]

Заработал вариант

 

add distance=1 dst-address=x.x.x.x/xx type=unreachable

[Saab95]

Не верно делаете.

 

Сейчас у вас есть определенные белые подсети с маской /24 или более, которые вы с бордера маршрутизируете на микротик.

Если на микротике адрес абонента не активен, то бордер отправляет на микротик запрос, микротик не видит у себя этого адреса, и перенаправляет его через дефолтный маршрут обратно на бордер.

Что бы такой ерунды не происходило, вам нужно создать маршрут или маршруты на все ваши белые сети с маской /24 (или более, чем /32), на какой-то адрес, который точно ничего возвращать обратно не будет, например на другой микротик.

 

Тогда если придет пакет от бордера на адрес, которого нет в списке подключенных абонентов, то микротик его перенаправит в никуда, при этом не потребуется создавать кучу записей в маршрутах.

 

Другой вариант, зарубить на бордере все, что идет от микротика, и при этом у данных src.address не равен вашим белым адресам.

[ShyLion]

например на другой микротик

 

ааааа

[vurd]

Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты.

[Saab95]

Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты.

 

Не просто дропает, а сообщает, что пакет был отброшен, тогда сразу понятно, что абонент не подключен.

Если основной микротик будет просто их дропать, тогда не ясно в чем проблема, или абонент не подключен, либо до него связь отсутствует и т.п.

[ShyLion]

Мда, в нуль уже не модно, оказывается, надо еще микротик, чтобы написать такой же раут, только с некст-хопом. Нуль-микротик. Просто стоит и дропает пакеты.

 

Не просто дропает, а сообщает, что пакет был отброшен, тогда сразу понятно, что абонент не подключен.

Если основной микротик будет просто их дропать, тогда не ясно в чем проблема, или абонент не подключен, либо до него связь отсутствует и т.п.

 

Вообще то приличный роутер и так шлет ICMP unreachable, и этот "стандартный функционал" дополнительно отключают чтобы control-plane не грузить.

[DRiVen]

Route flags

...

blackhole (B) Silently discard packet forwarded by this route.

 

unreachable (U) Discard packet forwarded by this route. Notify sender with ICMP host unreachable (type 3 code 1) message.

 

prohibit (P) Discard packet forwarded by this route. Notify sender with ICMP communication administratively prohibited (type 3 code 13) message.

[zhenya`]

Похоже микротик хорошо умеет генерить icmp) послать паре абонентов по 50 Мбит и микротик в тыкву превратится

[h1vs2]

Что бы такой ерунды не происходило, вам нужно создать маршрут или маршруты на все ваши белые сети с маской /24 (или более, чем /32), на какой-то адрес, который точно ничего возвращать обратно не будет, например на другой микротик.

Тогда если придет пакет от бордера на адрес, которого нет в списке подключенных абонентов, то микротик его перенаправит в никуда, при этом не потребуется создавать кучу записей в маршрутах.

 

made my day. Это уже совершенно новый уровень продаж, постучался снизу, так сказать.

 

 

 

 

2 Serejka. Как по мне правильно сделать следующее :

 

 

• На микротике маршрут в null
  
• На mx80 убрать роут на микротик
  
• Использовать динамическую маршрутизацию : отдавать по OSFP, IBGP(я бы его выбрал) connected роуты c mikrotik на mx80
   
  

 

А вообще как по мне намного лучше было бы терминировать этих абонентов через SM на MX80. И был бы не "bras", а bras :)

[ikiliikkuja]

Saab95

Гениально! Мои искренние аплодисменты

[Serejka]

Не верно делаете.

 

Вы хотите сказать, что:

add distance=1 dst-address=x.x.x.x/xx type=unreachable

 

Не отправляет пакеты в discard, а просто меняет icmp-reply, и на самом деле пакет отбегает весь TTL между железками?

 

Похоже микротик хорошо умеет генерить icmp) послать паре абонентов по 50 Мбит и микротик в тыкву превратится

 

я сам когда увидел просто офигел. Отдельное спасибо руководству, которое сказало переходим на "железные решения".