Saab95 Опубликовано 10 апреля, 2017 · Жалоба L2TP также отваливалось с OSPF как и EOIP, а также отваливается при добавлении статичного роута. А не пробовали через интернет только маршрут на адрес сервера или клиентов указать, и более ничего? L2TPv3 ethernet pseudowire? Или L2TP клиент-серверный? Опыт использования говорит в пользу L2TPv3, который дает L2 поверх L3. Ethernet pseudowire без соединений, динамическая маршрутизация работает нормально, link-detect всегда считает, что тунельный интерфейс в состоянии UP, реальная связь там не важна, соединение всегда отваливается по "dead interval" На тилеровских процессорах свежие ядра ведут себя странно, спонтанные падения на девките под нагрузкой, причина пока не ясна, возможно, вешается матрица ускорения фильтрации и маршрутизации трафика. По работе их ковыряю. Кристалл топовый. Для своих я забил на мудохание с микротиками и сделал самосборы на младших атомах с загрузочной флешкой с минимальным образом линукса, собранным cross-emerge'ем. Пропускная способность - 162~164Kpps без тунелирования. Для справки: Cisco 2821 не менее 100Kpps, до 128Kpps без тунелей в зависимости от фазы луны. Нормально там все себя ведет. Просто не нужно использовать разные странные схемы передачи данных, вроде как L2TPv3, IPSEC и прочие, которые уже совсем устарели. Обычный CCR пропускает миллион PPS без проблем, а тут какие-то атомы собирать, у которых сетевых портов-то 2 и обчелся. Извиняюсь за глупый вопрос: а где искать L2TPv3 в микротике? Очень куцая инфа в гугле Поищите в поиске - mikrotik bcp - на деле функция совершенно тупая и не практичная, годится только для подключения с компа и якобы попадания в общий бридж. Адрес управления удаленным устройством (если оно поднимает туннель для цели управления и передачи данных) висит на том же интерфейсе, что и L2, отсюда бывают разного рода неведомые глюки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOs Опубликовано 11 апреля, 2017 · Жалоба Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 · Жалоба А не пробовали через интернет только маршрут на адрес сервера или клиентов указать, и более ничего? Это как? Например, на СПБ роутере прописать прямой IP МСК роутера к подсети МСК? Поищите в поиске - mikrotik bcp - на деле функция совершенно тупая и не практичная, годится только для подключения с компа и якобы попадания в общий бридж. Адрес управления удаленным устройством (если оно поднимает туннель для цели управления и передачи данных) висит на том же интерфейсе, что и L2, отсюда бывают разного рода неведомые глюки. Спасибо, почитаю. Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться. Играюсь сегодня. Ставить разные на туннелях МТU? Или обязательно одинаковые на противоположных концах? Меняйте. Как вариант, на gre, ipip, если L2TPv3 нету. По ним ospf ходить должен, должен протухать по dead interval, если отвалился. У меня на любом туннеле (кроме SSTP)на СБП роутере сдыхает туннель без конца: http://prntscr.com/euznmm http://prntscr.com/euznqj на МСК держит, не падает. Сравнивал настройки - не могу понять в чем дело. МТU одинаковые на бридже, туннеле. Прошивка одинаковая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOs Опубликовано 11 апреля, 2017 (изменено) · Жалоба В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400. Везде все одинаково. Изменено 11 апреля, 2017 пользователем SOs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 11 апреля, 2017 · Жалоба Найдите две циски на тест, поднимите между ними l2tp-pw. Пойдет от 2901 и выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 · Жалоба В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400. Везде все одинаково. Спасибо, сделал. Особой разницы пока не заметил. http://prntscr.com/ev0d5y http://prntscr.com/ev0dbb Добавил еще на двух туннелях PCC, соединения разделяются 50 на 50 по одному и второму. Пока нагрузка равномерная, но скорость все равно хромает. То в одном направлении, то в другом. Найдите две циски на тест, поднимите между ними l2tp-pw. Пойдет от 2901 и выше. К сожалению, не владею ни цисками ни знаниями по ним. Но за совет спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 · Жалоба Извиняюсь за глупый вопрос: а где искать L2TPv3 в микротике? Очень куцая инфа в гугле Я хз. С микротиками не работаю, просто колупался с девкитом егойного топового процессора, тилеры. В линуксовом ядре ему сто лет в обед. Нормально там все себя ведет. Просто не нужно использовать разные странные схемы передачи данных, вроде как L2TPv3, IPSEC и прочие, которые уже совсем устарели. Ну о***ть теперь. В микротике топикстартер юзает клиент-серверный L2TPv2. L2TPv3 является официально рекомендуемым циской решением для VPN. Позволяет гонять L2 поверх L3, и то если приспичит. (то есть этот открытый протокол делает ***й ненужным проприетарный EoIP) Обычный CCR пропускает миллион PPS без проблем, Вот только один гиговый транзитный линк в дуплексе - 2,97Mpps. 10 гиговый линк - уже 29,76Mpps. То есть 10G лампочки мигают для заманухи, его там нет. Но при стоимости CCR микротиков дешевле собрать рабочее решение на коленке, которое будет в разы дешевле, но позволяет окучить задачу. http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/12646.CCR1036-8G-2S 61Круб http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/10239.CCR1016-12G 36Круб За ~10000-15000 руб пара железок на сокете AM1. 15 тысяч против 97 разница есть? С микротиками тилерами есть смысл возиться если ты занимаешься самостоятельно разработкой системы, которая на них крутится. Покупать готовые изделия на тилере смысла нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 · Жалоба http://prntscr.com/euznmm http://prntscr.com/euznqj Жесть какая Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 · Жалоба http://prntscr.com/euznmm http://prntscr.com/euznqj Жесть какая Что это может быть? Куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 апреля, 2017 · Жалоба Вот только один гиговый транзитный линк в дуплексе - 2,97Mpps. Шта? 337 бит при минимальных 512-ти? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 апреля, 2017 · Жалоба Вот только один гиговый транзитный линк в дуплексе - 2,97Mpps. 10 гиговый линк - уже 29,76Mpps. То есть 10G лампочки мигают для заманухи, его там нет. Но при стоимости CCR микротиков дешевле собрать рабочее решение на коленке, которое будет в разы дешевле, но позволяет окучить задачу. За ~10000-15000 руб пара железок на сокете AM1. 15 тысяч против 97 разница есть? С микротиками тилерами есть смысл возиться если ты занимаешься самостоятельно разработкой системы, которая на них крутится. Покупать готовые изделия на тилере смысла нет. С б/у серверами могут возиться только энтузиасты, у которых много свободного времени на всякие изыскательства. Если стоит задача по передачи данных, то микротик все без проблем реализует, и конкурентов по цене ему нет. Кроме всего разобраться с настройками, обслуживать и следить за работой, заниматься мониторингом, может человек, без серьезных познаний в линуксе. В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400. Это не надо, если мту и мрру туннеля убавили, все пакеты автоматически перефрагментируются. Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться. У провайдеров иногда бывает, что пакеты большого размера не проходят, или они сами гоняют интернет в туннелях, поэтому уменьшение размеров мту может дать толк. Это как? Например, на СПБ роутере прописать прямой IP МСК роутера к подсети МСК? Нет. Если на роутере есть еще какие-то службы доступа в интернет, может где-то и что-то не так настроено. Самое простое это взять еще 2 микротика и настроить на них только связь по туннелю, и на них же проверять работу. Возможно на основных железках есть что-то, что мешает работе. В микротике топикстартер юзает клиент-серверный L2TPv2. L2TPv3 является официально рекомендуемым циской решением для VPN. Позволяет гонять L2 поверх L3, и то если приспичит. (то есть этот открытый протокол делает ненужным проприетарный EoIP) И как вы представляете замену EoIP? Этот EoIP используется как замена MPLS туннелей, что бы не городить лишнего, если требуется просто прокинуть L2. По вашему мнению нужно везде L2TP сервера создавать и клиентами подключаться? Как же траблошутить все это дело=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 · Жалоба Шта? 337 бит при минимальных 512-ти? 14 880 952 pps - 10G линк в одну сторону 1 488 952 pps - 1G линк в одну сторону Такие числа обусловлены обычным interframe gap в 12 байт. 12 байт interframe gap 8 байт преамбула 14 байт ethernet заголовок 46 байт минимальный payload 4 байта ethernet CRC Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 (изменено) · Жалоба С б/у серверами https://www.citilink.ru/search/?text=am1 Этот EoIP используется как замена MPLS туннелей, что бы не городить лишнего, если требуется просто прокинуть L2. По вашему мнению нужно везде L2TP сервера создавать и клиентами подключаться? L2TPv2 в микротике и работает по схеме клиент-сервер. L2TPv3 работает без серверов. Также как и gre или ipip. Это просто инкапсуляция между равноправными узлами. С заголовком, который позволяет разобраться с тем, что за поток трафика обслуживается. Пробростье мне в одном тунеле EoIP 8 Ethernet линков для прозрачного LACP бриджа между филиалами и 4 L3 тунеля без L2 заголовков. Хинт: чтобы это заработало нужно будет купить 16 микротиков и 32 в резерв. На самом деле нет. Что это может быть? Куда копать? Там есть в настройках что-то касающееся keep-alive? Ощущение, что провайдер использует софтроутер с фильтрацией трафика требующей connection tracking'а, но таблицы в памяти уже закончились и поэтому ваш линк протухает. Плюс как вариант действительно проблема с MTU провайдера. Имеет смысл попробовать погонять вне тунелей трафик между филиалами с поиском максимального MTU без фрагментации (запрещаете фрагментацию своего тестового трафика) и танцевать уже от него. +поставить максимальный приоритет на служебные пакеты OSPF с помощью настроек QoS на тунеле (ленивый вариант на период отладки - 224.0.0.0/8 на максимальный приоритет прохождения) Изменено 11 апреля, 2017 пользователем SpheriX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 · Жалоба Там есть в настройках что-то касающееся keep-alive? Ощущение, что провайдер использует софтроутер с фильтрацией трафика требующей connection tracking'а, но таблицы в памяти уже закончились и поэтому ваш линк протухает. Плюс как вариант действительно проблема с MTU провайдера. Имеет смысл попробовать погонять вне тунелей трафик между филиалами с поиском максимального MTU без фрагментации (запрещаете фрагментацию своего тестового трафика) и танцевать уже от него. +поставить максимальный приоритет на служебные пакеты OSPF с помощью настроек QoS на тунеле (ленивый вариант на период отладки - 224.0.0.0/8 на максимальный приоритет прохождения) http://prntscr.com/ev1dic да, есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 · Жалоба С б/у серверами https://www.citilink.ru/search/?text=am1 Процессор 2000-2300 Мать 2000 кулер 213 рублей в никсе Оперативка DDR3 2 Гб 900 руб флеш USB затычка порта USB3.0 16Gb 460 руб сетевуха 550руб корпус с БП 2650 итого порядок до 9500 За цену одного микротика Cloud Core Router 1016-12G я возьму 4 таких самосбора и обеспечу связь двух филиалов с дублированием каждого. http://prntscr.com/ev1dic да, есть. Попробуйте ускорить. Интервал в 1 секунду поставить и посмотреть на стабильность линка. + попробовать отследить под нагрузкой ли тунель ложится, или живет без нагрузки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 · Жалоба Попробуйте ускорить. Интервал в 1 секунду поставить и посмотреть на стабильность линка. + попробовать отследить под нагрузкой ли тунель ложится, или живет без нагрузки. Туннели сами по себе по дефолтным настройкам очень стабильны. Никогда не падали. Падёж начинается только при OSPF. Добавляю подсеть туннеля 10.10.2.0/24 с двух сторон в OSPF-Networks и на СПБ роутере начинается отвал через 10-20 сек. А ведь даже еще не дошел до добавления подсети офисов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 (изменено) · Жалоба Хмм. А как тогда будет выглядеть схема связи? Я обычно сети внутри тунелей кладу в area 0, а интерфейсы локалок анонсирую через redistribute connected, в какой-то зоне они у меня не участвуют. Сделайте полную рисунок-схему с провайдерами, филиалами и какими-нибудь адресами. А также покажите таблицу маршрутов. С указанием где какая ospf area. UPD. И что с default-originate? Изменено 11 апреля, 2017 пользователем SpheriX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 11 апреля, 2017 · Жалоба За цену одного микротика Cloud Core Router 1016-12G я возьму 4 таких самосбора и обеспечу связь двух филиалов с дублированием каждого. Простите, что вмешиваюс в спор гигантов, но за цену одного микротика Cloud Core Router 1016-12G можно взять 10 шт (RB750Gr3) RouterBOARD hEX с апаратным ipsec шфрованием и обеспечить 5-кратное дублирование. Я к чему - для каждой задачи можно найти оптимальное железо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 · Жалоба Хмм. А как тогда будет выглядеть схема связи? Я обычно сети внутри тунелей кладу в area 0, а интерфейсы локалок анонсирую через redistribute connected, в какой-то зоне они у меня не участвуют. Сделайте полную рисунок-схему с провайдерами, филиалами и какими-нибудь адресами. А также покажите таблицу маршрутов. С указанием где какая ospf area. UPD. И что с default-originate? Схема: Роуты СПБ: /ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S ;;; ether1 dst-address=0.0.0.0/0 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via ether1 distance=1 scope=30 target-scope=10 routing-mark=Avelacom 1 S ;;; , dst-address=0.0.0.0/0 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via ether2 distance=2 scope=30 target-scope=10 routing-mark=Avelacom 2 A S ;;; ether2 dst-address=0.0.0.0/0 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via ether2 distance=1 scope=30 target-scope=10 routing-mark=Obit 3 S ;;; , dst-address=0.0.0.0/0 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via ether1 distance=2 scope=30 target-scope=10 routing-mark=Obit 4 A S ;;; EOIP1 dst-address=192.168.0.0/23 gateway=10.10.2.1 gateway-status=10.10.2.1 reachable via eoip1 check-gateway=arp distance=1 scope=30 target-scope=10 routing-mark=to-EOIP1 5 A S ;;; EOIP2 dst-address=192.168.0.0/23 gateway=10.10.3.1 gateway-status=10.10.3.1 reachable via eoip2 check-gateway=arp distance=1 scope=30 target-scope=10 routing-mark=to-EOIP2 6 A S ;;; ( 2 ) dst-address=0.0.0.0/0 gateway=8.8.8.8 gateway-status=8.8.8.8 recursive via 95.143.X.XX ether1 check-gateway=ping distance=10 scope=30 target-scope=10 7 S ;;; ( 2 ) dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 95.161.XXX.XXX ether2 check-gateway=ping distance=20 scope=30 target-scope=10 8 A S ;;; ( ) dst-address=8.8.4.4/32 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via ether2 distance=1 scope=10 target-scope=10 9 A S ;;; ( ) dst-address=8.8.8.8/32 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via ether1 distance=1 scope=10 target-scope=10 10 ADC dst-address=10.10.1.0/24 pref-src=10.10.1.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 11 ADC dst-address=10.10.2.0/24 pref-src=10.10.2.2 gateway=eoip1 gateway-status=eoip1 reachable distance=0 scope=10 12 ADC dst-address=10.10.3.0/24 pref-src=10.10.3.2 gateway=eoip2 gateway-status=eoip2 reachable distance=0 scope=10 13 ADC dst-address=95.143.4.76/30 pref-src=95.143.X.XX gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10 14 ADC dst-address=95.161.177.132/30 pref-src=95.161.XXX.XXX gateway=ether2 gateway-status=ether2 reachable distance=0 scope=10 15 X S ;;; EOIP1 ( ) dst-address=192.168.0.0/23 gateway=10.10.2.1 gateway-status=10.10.2.1 inactive check-gateway=arp distance=1 scope=30 target-scope=10 16 X S ;;; EOIP2 ( ) dst-address=192.168.0.0/23 gateway=10.10.3.1 gateway-status=10.10.3.1 inactive check-gateway=arp distance=2 scope=30 target-scope=10 17 A S ;;; EOIP1 ( SPB VPN) dst-address=192.168.6.0/24 gateway=10.10.2.1 gateway-status=10.10.2.1 reachable via eoip1 check-gateway=arp distance=1 scope=30 target-scope=10 Роуты МСК: /ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S ;;; 2ProvRecurse ( Starlink Starlink ether1-wan1) dst-address=0.0.0.0/0 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via ether1-wan1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=Starlink 1 S ;;; 2ProvRecurse ( Starlink, to-Starlink Toptelecom) dst-address=0.0.0.0/0 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via ether2-wan2 check-gateway=ping distance=2 scope=30 target-scope=10 routing-mark=Starlink 2 A S ;;; PCC EoIP dst-address=10.10.1.0/24 gateway=10.10.3.2 gateway-status=10.10.3.2 reachable via eoip2 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=toSPB_tun2 3 A S ;;; PCC EoIP dst-address=10.10.1.0/24 gateway=10.10.2.2 gateway-status=10.10.2.2 reachable via eoip1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=toSPB_tun1 4 A S ;;; 2ProvRecurse ( Toptelecom Toptelecom ether2-wan2) dst-address=0.0.0.0/0 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via ether2-wan2 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=Toptelecom 5 S ;;; 2ProvRecurse ( Toptelecom, to-Toptelecom Starlink) dst-address=0.0.0.0/0 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via ether1-wan1 check-gateway=ping distance=2 scope=30 target-scope=10 routing-mark=Toptelecom 6 A S ;;; ( ) dst-address=0.0.0.0/0 gateway=8.8.8.8 gateway-status=8.8.8.8 recursive via 77.50.XXX.1 ether1-wan1 check-gateway=ping distance=10 scope=30 target-scope=30 7 S ;;; ( ) dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 176.192.XX.XXX ether2-wan2 check-gateway=ping distance=20 scope=30 target-scope=30 8 A S ;;; 2ProvRecurse ( 8.8.4.4 Toptelecom , ) dst-address=8.8.4.4/32 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via ether2-wan2 distance=1 scope=10 target-scope=10 9 A S ;;; 2ProvRecurse ( 8.8.8.8 Starlink , ) dst-address=8.8.8.8/32 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via ether1-wan1 distance=1 scope=10 target-scope=10 10 X S ;;; ( 0) dst-address=10.10.1.0/24 gateway=10.10.3.2 gateway-status=10.10.3.2 inactive check-gateway=arp distance=2 scope=30 target-scope=10 11 X S ;;; dst-address=10.10.1.0/24 gateway=eoip1 gateway-status=eoip1 inactive check-gateway=arp distance=1 scope=30 target-scope=10 12 ADC dst-address=10.10.2.0/24 pref-src=10.10.2.1 gateway=eoip2 gateway-status=eoip1 reachable distance=0 scope=10 13 ADC dst-address=10.10.3.0/24 pref-src=10.10.3.1 gateway=eoip2 gateway-status=eoip2 reachable distance=0 scope=10 14 ADC dst-address=77.50.XXX.0/24 pref-src=77.50.XXX.86 gateway=ether1-wan1 gateway-status=ether1-wan1 reachable distance=0 scope=10 15 ADC dst-address=176.192.XX.XXX/29 pref-src=176.192.XX.XXX gateway=ether2-wan2 gateway-status=ether2-wan2 reachable distance=0 scope=10 16 ADC dst-address=192.168.0.0/23 pref-src=192.168.1.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 17 ADC dst-address=192.168.4.0/24 pref-src=192.168.4.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 Я делал и через backbone и отдельные зоны называл. Падает СПБ EOIP1. Про default-originate я не в курсе если честно на mikrotik-ах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 · Жалоба Простите, что вмешиваюс в спор гигантов, но за цену одного микротика Cloud Core Router 1016-12G можно взять 10 шт (RB750Gr3) RouterBOARD hEX с апаратным ipsec шфрованием и обеспечить 5-кратное дублирование. Я к чему - для каждой задачи можно найти оптимальное железо. Да, но меня вымораживает невозможность влезть в кишки системе, а необходимость возникает всё чаще. MetrS Правильно ли я понимаю, что у вас по паре дефолтных роутов в каждом микротике, у которых меняется метрика в зависимости от результатов встроенной пинговалки шлюза? На основании чего выбирается куда отдать внешний интернет трафик пользователей в мир? Похоже, начинается катавасия с маршрутами при включении OSPF. Как следствие меняется работа пинговалок и тунель падает. Упал тунель, пинговалка отрабатывает нормально, тунель поднимается, поднимается OSPF, приезжают маршруты, пинговалка ломается, тунель падает потому что его убивает пинговалка шлюза прова и т.д. По таймерам с предыдущих скринов похоже. default-originate Это анонсирование маршрута по умолчанию через протоколы динамической маршрутизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 11 апреля, 2017 (изменено) · Жалоба MetrS Правильно ли я понимаю, что у вас по паре дефолтных роутов в каждом микротике, у которых меняется мерика в зависимости от результатов встроенной пинговалки шлюза? На основании чего выбирается куда отдать внешний интернет трафик пользователей в мир? Похоже, начинается катавасия с маршрутами при включении OSPF. Как следствие меняется работа пинговалок и тунель падает. Упал тунель, пинговалка отрабатывает нормально, тунель поднимается, поднимается OSPF, приезжают маршруты, пинговалка ломается, тунель падает потому что его убивает пинговалка шлюза прова и т.д. По таймерам с предыдущих скринов похоже. 2 дефолтных роута с разной метрикой (10 и 20). Шлюзы настроены рекурсивно, каждый ип гугла пингуется со своего шлюза провайдера. Как в этой статье: https://vasilevkirill.com/MikroTik/1/ искать по строке "8.8.8.8 recursive via 1.1.1.1" Снаружи доступны все 2 провайдера, интернетные интерфейсы объединены в правилах firewall под одной группой. В mangle настроены правила приема пакетов (если пакет пришел с ether1 то уйдет с него же). Это была подготовка для балансировки каналов. С использованием PCC или ECMP, но сейчас идет тупо работа пользователей через один канал, если он падает, то инет идет через второго провайдера с метрикой 20. Туннели идут через между внешними интерфейсами нужных провайдеров. Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров. Например, СПБ: Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки. Изменено 11 апреля, 2017 пользователем MetrS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 11 апреля, 2017 · Жалоба Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров. Например, СПБ: Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки. Как вариант, с помощью статических маршрутов можно прибить гвоздями каждый тунель к конкретному провайдеру. Оно? Потом отпишитесь, опупея закончилась или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MetrS Опубликовано 12 апреля, 2017 · Жалоба Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров. Например, СПБ: Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки. Как вариант, с помощью статических маршрутов можно прибить гвоздями каждый тунель к конкретному провайдеру. Оно? Потом отпишитесь, опупея закончилась или нет. Пока вижу существенное улучшение по скорости. OSPF пока не завелся, подожду до выходных - буду тесты гонять сначала с одним провайдером, затем с двумя. http://prntscr.com/eve8vy всем спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 апреля, 2017 · Жалоба Saab95 можно с вами как-нибудь связаться? В ЛС к вам не отправляются. Напишите в профиле вопрос и почту. L2TPv2 в микротике и работает по схеме клиент-сервер. L2TPv3 работает без серверов. Также как и gre или ipip. Это просто инкапсуляция между равноправными узлами. С заголовком, который позволяет разобраться с тем, что за поток трафика обслуживается. Пробростье мне в одном тунеле EoIP 8 Ethernet линков для прозрачного LACP бриджа между филиалами и 4 L3 тунеля без L2 заголовков. Хинт: чтобы это заработало нужно будет купить 16 микротиков и 32 в резерв. На самом деле нет. Это GRE туннель какой-то получается. На самом деле те вопросы, которые вы ставите, решаются несколькими EoIP туннелями, или через MPLS, там все еще проще по теме куче L2 каналов. Туннели сами по себе по дефолтным настройкам очень стабильны. Никогда не падали. Падёж начинается только при OSPF. Добавляю подсеть туннеля 10.10.2.0/24 с двух сторон в OSPF-Networks и на СПБ роутере начинается отвал через 10-20 сек. А ведь даже еще не дошел до добавления подсети офисов. Сделайте трейс с каждой стороны туннеля друг на друга. Иногда бывает такое, что трейс постоянно меняется, и часть каналов не пропускает большие пакеты, потом путь трафика изменяется и они проходят, но после опять перестают. Процессор 2000-2300 Мать 2000 кулер 213 рублей в никсе Оперативка DDR3 2 Гб 900 руб флеш USB затычка порта USB3.0 16Gb 460 руб сетевуха 550руб корпус с БП 2650 итого порядок до 9500 За цену одного микротика Cloud Core Router 1016-12G я возьму 4 таких самосбора и обеспечу связь двух филиалов с дублированием каждого. И зачем такое барахло? Которое после года эксплуатации только дорога на помойку? На баланс не поставить, стоимости на вторичном рынке нет. А вот на новый микротик есть и гарантия, можно поставить на баланс, то есть если организация зарабатывает деньги, и часть финансовых потоков возвращается на покупку оборудования, то зачем утруждать себя экономией средств организации и собирать б/у сервера, с которыми могут быть проблемы, и потом краснеть за такую технологию, когда удаленный филиал на день останется без связи. Простите, что вмешиваюс в спор гигантов, но за цену одного микротика Cloud Core Router 1016-12G можно взять 10 шт (RB750Gr3) RouterBOARD hEX с апаратным ipsec шфрованием и обеспечить 5-кратное дублирование. Я к чему - для каждой задачи можно найти оптимальное железо. Конечно - всегда выгодно поставить несколько микротиков, и не использовать IPSEC шифрование, это уже устаревшая технология. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 12 апреля, 2017 · Жалоба ...не использовать IPSEC шифрование, это уже устаревшая технология... Любопытно почему? Я без всякой иронии спрашиваю, мне просто интересно понять вашу точку зрения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...