Перейти к содержимому
Калькуляторы

Недостаточная скорость туннелей

L2TP также отваливалось с OSPF как и EOIP, а также отваливается при добавлении статичного роута.

 

А не пробовали через интернет только маршрут на адрес сервера или клиентов указать, и более ничего?

 

L2TPv3 ethernet pseudowire? Или L2TP клиент-серверный? Опыт использования говорит в пользу L2TPv3, который дает L2 поверх L3. Ethernet pseudowire без соединений, динамическая маршрутизация работает нормально, link-detect всегда считает, что тунельный интерфейс в состоянии UP, реальная связь там не важна, соединение всегда отваливается по "dead interval"

На тилеровских процессорах свежие ядра ведут себя странно, спонтанные падения на девките под нагрузкой, причина пока не ясна, возможно, вешается матрица ускорения фильтрации и маршрутизации трафика. По работе их ковыряю. Кристалл топовый. Для своих я забил на мудохание с микротиками и сделал самосборы на младших атомах с загрузочной флешкой с минимальным образом линукса, собранным cross-emerge'ем. Пропускная способность - 162~164Kpps без тунелирования. Для справки: Cisco 2821 не менее 100Kpps, до 128Kpps без тунелей в зависимости от фазы луны.

 

Нормально там все себя ведет. Просто не нужно использовать разные странные схемы передачи данных, вроде как L2TPv3, IPSEC и прочие, которые уже совсем устарели.

Обычный CCR пропускает миллион PPS без проблем, а тут какие-то атомы собирать, у которых сетевых портов-то 2 и обчелся.

 

Извиняюсь за глупый вопрос: а где искать L2TPv3 в микротике? Очень куцая инфа в гугле

 

Поищите в поиске - mikrotik bcp - на деле функция совершенно тупая и не практичная, годится только для подключения с компа и якобы попадания в общий бридж. Адрес управления удаленным устройством (если оно поднимает туннель для цели управления и передачи данных) висит на том же интерфейсе, что и L2, отсюда бывают разного рода неведомые глюки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не пробовали через интернет только маршрут на адрес сервера или клиентов указать, и более ничего?

Это как? Например, на СПБ роутере прописать прямой IP МСК роутера к подсети МСК?

Поищите в поиске - mikrotik bcp - на деле функция совершенно тупая и не практичная, годится только для подключения с компа и якобы попадания в общий бридж. Адрес управления удаленным устройством (если оно поднимает туннель для цели управления и передачи данных) висит на том же интерфейсе, что и L2, отсюда бывают разного рода неведомые глюки.

Спасибо, почитаю.

Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться.

Играюсь сегодня. Ставить разные на туннелях МТU? Или обязательно одинаковые на противоположных концах?

 

Меняйте. Как вариант, на gre, ipip, если L2TPv3 нету. По ним ospf ходить должен, должен протухать по dead interval, если отвалился.

У меня на любом туннеле (кроме SSTP)на СБП роутере сдыхает туннель без конца:

http://prntscr.com/euznmm

http://prntscr.com/euznqj

 

на МСК держит, не падает. Сравнивал настройки - не могу понять в чем дело. МТU одинаковые на бридже, туннеле. Прошивка одинаковая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400.

Везде все одинаково.

Изменено пользователем SOs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Найдите две циски на тест, поднимите между ними l2tp-pw. Пойдет от 2901 и выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400.

Везде все одинаково.

Спасибо, сделал. Особой разницы пока не заметил.

http://prntscr.com/ev0d5y

http://prntscr.com/ev0dbb

 

Добавил еще на двух туннелях PCC, соединения разделяются 50 на 50 по одному и второму. Пока нагрузка равномерная, но скорость все равно хромает. То в одном направлении, то в другом.

 

Найдите две циски на тест, поднимите между ними l2tp-pw. Пойдет от 2901 и выше.

К сожалению, не владею ни цисками ни знаниями по ним. Но за совет спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извиняюсь за глупый вопрос: а где искать L2TPv3 в микротике? Очень куцая инфа в гугле

Я хз. С микротиками не работаю, просто колупался с девкитом егойного топового процессора, тилеры. В линуксовом ядре ему сто лет в обед.

Нормально там все себя ведет. Просто не нужно использовать разные странные схемы передачи данных, вроде как L2TPv3, IPSEC и прочие, которые уже совсем устарели.

Ну о***ть теперь.

4056853.jpg

В микротике топикстартер юзает клиент-серверный L2TPv2. L2TPv3 является официально рекомендуемым циской решением для VPN. Позволяет гонять L2 поверх L3, и то если приспичит. (то есть этот открытый протокол делает ***й ненужным проприетарный EoIP)

Обычный CCR пропускает миллион PPS без проблем,

Вот только один гиговый транзитный линк в дуплексе - 2,97Mpps. 10 гиговый линк - уже 29,76Mpps. То есть 10G лампочки мигают для заманухи, его там нет. Но при стоимости CCR микротиков дешевле собрать рабочее решение на коленке, которое будет в разы дешевле, но позволяет окучить задачу.

http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/12646.CCR1036-8G-2S 61Круб

http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/10239.CCR1016-12G 36Круб

За ~10000-15000 руб пара железок на сокете AM1. 15 тысяч против 97 разница есть? С микротиками тилерами есть смысл возиться если ты занимаешься самостоятельно разработкой системы, которая на них крутится. Покупать готовые изделия на тилере смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что это может быть? Куда копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот только один гиговый транзитный линк в дуплексе - 2,97Mpps.

Шта? 337 бит при минимальных 512-ти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот только один гиговый транзитный линк в дуплексе - 2,97Mpps. 10 гиговый линк - уже 29,76Mpps. То есть 10G лампочки мигают для заманухи, его там нет. Но при стоимости CCR микротиков дешевле собрать рабочее решение на коленке, которое будет в разы дешевле, но позволяет окучить задачу.

За ~10000-15000 руб пара железок на сокете AM1. 15 тысяч против 97 разница есть? С микротиками тилерами есть смысл возиться если ты занимаешься самостоятельно разработкой системы, которая на них крутится. Покупать готовые изделия на тилере смысла нет.

 

С б/у серверами могут возиться только энтузиасты, у которых много свободного времени на всякие изыскательства. Если стоит задача по передачи данных, то микротик все без проблем реализует, и конкурентов по цене ему нет. Кроме всего разобраться с настройками, обслуживать и следить за работой, заниматься мониторингом, может человек, без серьезных познаний в линуксе.

 

В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400.

 

Это не надо, если мту и мрру туннеля убавили, все пакеты автоматически перефрагментируются.

 

Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться.

 

У провайдеров иногда бывает, что пакеты большого размера не проходят, или они сами гоняют интернет в туннелях, поэтому уменьшение размеров мту может дать толк.

 

Это как? Например, на СПБ роутере прописать прямой IP МСК роутера к подсети МСК?

 

Нет. Если на роутере есть еще какие-то службы доступа в интернет, может где-то и что-то не так настроено.

Самое простое это взять еще 2 микротика и настроить на них только связь по туннелю, и на них же проверять работу. Возможно на основных железках есть что-то, что мешает работе.

 

В микротике топикстартер юзает клиент-серверный L2TPv2. L2TPv3 является официально рекомендуемым циской решением для VPN. Позволяет гонять L2 поверх L3, и то если приспичит. (то есть этот открытый протокол делает ненужным проприетарный EoIP)

 

И как вы представляете замену EoIP? Этот EoIP используется как замена MPLS туннелей, что бы не городить лишнего, если требуется просто прокинуть L2. По вашему мнению нужно везде L2TP сервера создавать и клиентами подключаться? Как же траблошутить все это дело=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шта? 337 бит при минимальных 512-ти?

14 880 952 pps - 10G линк в одну сторону

1 488 952 pps - 1G линк в одну сторону

Такие числа обусловлены обычным interframe gap в 12 байт.

12 байт interframe gap

8 байт преамбула

14 байт ethernet заголовок

46 байт минимальный payload

4 байта ethernet CRC

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С б/у серверами

https://www.citilink.ru/search/?text=am1

Этот EoIP используется как замена MPLS туннелей, что бы не городить лишнего, если требуется просто прокинуть L2.

По вашему мнению нужно везде L2TP сервера создавать и клиентами подключаться?

L2TPv2 в микротике и работает по схеме клиент-сервер. L2TPv3 работает без серверов. Также как и gre или ipip. Это просто инкапсуляция между равноправными узлами. С заголовком, который позволяет разобраться с тем, что за поток трафика обслуживается. Пробростье мне в одном тунеле EoIP 8 Ethernet линков для прозрачного LACP бриджа между филиалами и 4 L3 тунеля без L2 заголовков. Хинт: чтобы это заработало нужно будет купить 16 микротиков и 32 в резерв. На самом деле нет.

 

 

Что это может быть? Куда копать?

Там есть в настройках что-то касающееся keep-alive? Ощущение, что провайдер использует софтроутер с фильтрацией трафика требующей connection tracking'а, но таблицы в памяти уже закончились и поэтому ваш линк протухает. Плюс как вариант действительно проблема с MTU провайдера. Имеет смысл попробовать погонять вне тунелей трафик между филиалами с поиском максимального MTU без фрагментации (запрещаете фрагментацию своего тестового трафика) и танцевать уже от него. +поставить максимальный приоритет на служебные пакеты OSPF с помощью настроек QoS на тунеле (ленивый вариант на период отладки - 224.0.0.0/8 на максимальный приоритет прохождения)

Изменено пользователем SpheriX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там есть в настройках что-то касающееся keep-alive? Ощущение, что провайдер использует софтроутер с фильтрацией трафика требующей connection tracking'а, но таблицы в памяти уже закончились и поэтому ваш линк протухает. Плюс как вариант действительно проблема с MTU провайдера. Имеет смысл попробовать погонять вне тунелей трафик между филиалами с поиском максимального MTU без фрагментации (запрещаете фрагментацию своего тестового трафика) и танцевать уже от него. +поставить максимальный приоритет на служебные пакеты OSPF с помощью настроек QoS на тунеле (ленивый вариант на период отладки - 224.0.0.0/8 на максимальный приоритет прохождения)

http://prntscr.com/ev1dic да, есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С б/у серверами

https://www.citilink.ru/search/?text=am1

Процессор 2000-2300

Мать 2000

кулер 213 рублей в никсе

Оперативка DDR3 2 Гб 900 руб

флеш USB затычка порта USB3.0 16Gb 460 руб

сетевуха 550руб

корпус с БП 2650

итого порядок до 9500

За цену одного микротика Cloud Core Router 1016-12G я возьму 4 таких самосбора и обеспечу связь двух филиалов с дублированием каждого.

 

http://prntscr.com/ev1dic да, есть.

Попробуйте ускорить. Интервал в 1 секунду поставить и посмотреть на стабильность линка. + попробовать отследить под нагрузкой ли тунель ложится, или живет без нагрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте ускорить. Интервал в 1 секунду поставить и посмотреть на стабильность линка. + попробовать отследить под нагрузкой ли тунель ложится, или живет без нагрузки.

Туннели сами по себе по дефолтным настройкам очень стабильны. Никогда не падали. Падёж начинается только при OSPF. Добавляю подсеть туннеля 10.10.2.0/24 с двух сторон в OSPF-Networks и на СПБ роутере начинается отвал через 10-20 сек. А ведь даже еще не дошел до добавления подсети офисов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хмм. А как тогда будет выглядеть схема связи? Я обычно сети внутри тунелей кладу в area 0, а интерфейсы локалок анонсирую через redistribute connected, в какой-то зоне они у меня не участвуют.

Сделайте полную рисунок-схему с провайдерами, филиалами и какими-нибудь адресами. А также покажите таблицу маршрутов. С указанием где какая ospf area.

UPD. И что с default-originate?

Изменено пользователем SpheriX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За цену одного микротика Cloud Core Router 1016-12G я возьму 4 таких самосбора и обеспечу связь двух филиалов с дублированием каждого.

Простите, что вмешиваюс в спор гигантов, но за цену одного микротика Cloud Core Router 1016-12G можно взять 10 шт (RB750Gr3) RouterBOARD hEX с апаратным ipsec шфрованием и обеспечить 5-кратное дублирование.

Я к чему - для каждой задачи можно найти оптимальное железо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хмм. А как тогда будет выглядеть схема связи? Я обычно сети внутри тунелей кладу в area 0, а интерфейсы локалок анонсирую через redistribute connected, в какой-то зоне они у меня не участвуют.

Сделайте полную рисунок-схему с провайдерами, филиалами и какими-нибудь адресами. А также покажите таблицу маршрутов. С указанием где какая ospf area.

UPD. И что с default-originate?

 

Схема:

 

post-137153-067895500 1491914771_thumb.png

 

Роуты СПБ:

 

/ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
0 A S  ;;;                                                    ether1
       dst-address=0.0.0.0/0 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via  ether1 distance=1 scope=30 target-scope=10 routing-mark=Avelacom 

1   S  ;;;                                          ,                                           
       dst-address=0.0.0.0/0 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via  ether2 distance=2 scope=30 target-scope=10 routing-mark=Avelacom 

2 A S  ;;;                                                ether2
       dst-address=0.0.0.0/0 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via  ether2 distance=1 scope=30 target-scope=10 routing-mark=Obit 

3   S  ;;;                                          ,                                           
       dst-address=0.0.0.0/0 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via  ether1 distance=2 scope=30 target-scope=10 routing-mark=Obit 

4 A S  ;;;                EOIP1
       dst-address=192.168.0.0/23 gateway=10.10.2.1 gateway-status=10.10.2.1 reachable via  eoip1 check-gateway=arp distance=1 scope=30 target-scope=10 routing-mark=to-EOIP1 

5 A S  ;;;                EOIP2
       dst-address=192.168.0.0/23 gateway=10.10.3.1 gateway-status=10.10.3.1 reachable via  eoip2 check-gateway=arp distance=1 scope=30 target-scope=10 routing-mark=to-EOIP2 

6 A S  ;;;                 (                                            2            )
       dst-address=0.0.0.0/0 gateway=8.8.8.8 gateway-status=8.8.8.8 recursive via 95.143.X.XX ether1 check-gateway=ping distance=10 scope=30 target-scope=10 

7   S  ;;;             (                                            2            )
       dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 95.161.XXX.XXX ether2 check-gateway=ping distance=20 scope=30 target-scope=10 

8 A S  ;;;                                   (    )
       dst-address=8.8.4.4/32 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via  ether2 distance=1 scope=10 target-scope=10 

9 A S  ;;;                                   (        )
       dst-address=8.8.8.8/32 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via  ether1 distance=1 scope=10 target-scope=10 

10 ADC  dst-address=10.10.1.0/24 pref-src=10.10.1.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 

11 ADC  dst-address=10.10.2.0/24 pref-src=10.10.2.2 gateway=eoip1 gateway-status=eoip1 reachable distance=0 scope=10 

12 ADC  dst-address=10.10.3.0/24 pref-src=10.10.3.2 gateway=eoip2 gateway-status=eoip2 reachable distance=0 scope=10 

13 ADC  dst-address=95.143.4.76/30 pref-src=95.143.X.XX gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10 

14 ADC  dst-address=95.161.177.132/30 pref-src=95.161.XXX.XXX gateway=ether2 gateway-status=ether2 reachable distance=0 scope=10 

15 X S  ;;;                      EOIP1 (         )
       dst-address=192.168.0.0/23 gateway=10.10.2.1 gateway-status=10.10.2.1 inactive check-gateway=arp distance=1 scope=30 target-scope=10 

16 X S  ;;;                EOIP2  (         )
       dst-address=192.168.0.0/23 gateway=10.10.3.1 gateway-status=10.10.3.1 inactive check-gateway=arp distance=2 scope=30 target-scope=10 

17 A S  ;;;                EOIP1 (             SPB         VPN)
       dst-address=192.168.6.0/24 gateway=10.10.2.1 gateway-status=10.10.2.1 reachable via  eoip1 check-gateway=arp distance=1 scope=30 target-scope=10 

 

Роуты МСК:

 

/ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
0 A S  ;;; 2ProvRecurse (              Starlink                             Starlink ether1-wan1)
       dst-address=0.0.0.0/0 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via  ether1-wan1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=Starlink 

1   S  ;;; 2ProvRecurse (            Starlink,                      to-Starlink              Toptelecom)
       dst-address=0.0.0.0/0 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via  ether2-wan2 check-gateway=ping distance=2 scope=30 target-scope=10 routing-mark=Starlink 

2 A S  ;;; PCC              EoIP
       dst-address=10.10.1.0/24 gateway=10.10.3.2 gateway-status=10.10.3.2 reachable via  eoip2 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=toSPB_tun2 

3 A S  ;;; PCC              EoIP
       dst-address=10.10.1.0/24 gateway=10.10.2.2 gateway-status=10.10.2.2 reachable via  eoip1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=toSPB_tun1 

4 A S  ;;; 2ProvRecurse (              Toptelecom                             Toptelecom ether2-wan2)
       dst-address=0.0.0.0/0 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via  ether2-wan2 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=Toptelecom 

5   S  ;;; 2ProvRecurse (            Toptelecom,                      to-Toptelecom              Starlink)
       dst-address=0.0.0.0/0 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via  ether1-wan1 check-gateway=ping distance=2 scope=30 target-scope=10 routing-mark=Toptelecom 

6 A S  ;;;                 (                                                                      )
       dst-address=0.0.0.0/0 gateway=8.8.8.8 gateway-status=8.8.8.8 recursive via 77.50.XXX.1 ether1-wan1 check-gateway=ping distance=10 scope=30 target-scope=30 

7   S  ;;;                   (                                                                      )
       dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 176.192.XX.XXX ether2-wan2 check-gateway=ping distance=20 scope=30 target-scope=30 

8 A S  ;;; 2ProvRecurse (                    8.8.4.4              Toptelecom         ,                            )
       dst-address=8.8.4.4/32 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via  ether2-wan2 distance=1 scope=10 target-scope=10 

9 A S  ;;; 2ProvRecurse (                    8.8.8.8              Starlink         ,                            )
       dst-address=8.8.8.8/32 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via  ether1-wan1 distance=1 scope=10 target-scope=10 

10 X S  ;;;                (                     0)
       dst-address=10.10.1.0/24 gateway=10.10.3.2 gateway-status=10.10.3.2 inactive check-gateway=arp distance=2 scope=30 target-scope=10 

11 X S  ;;;                        
       dst-address=10.10.1.0/24 gateway=eoip1 gateway-status=eoip1 inactive check-gateway=arp distance=1 scope=30 target-scope=10 

12 ADC  dst-address=10.10.2.0/24 pref-src=10.10.2.1 gateway=eoip2 gateway-status=eoip1 reachable distance=0 scope=10 

13 ADC  dst-address=10.10.3.0/24 pref-src=10.10.3.1 gateway=eoip2 gateway-status=eoip2 reachable distance=0 scope=10 

14 ADC  dst-address=77.50.XXX.0/24 pref-src=77.50.XXX.86 gateway=ether1-wan1 gateway-status=ether1-wan1 reachable distance=0 scope=10 

15 ADC  dst-address=176.192.XX.XXX/29 pref-src=176.192.XX.XXX gateway=ether2-wan2 gateway-status=ether2-wan2 reachable distance=0 scope=10 

16 ADC  dst-address=192.168.0.0/23 pref-src=192.168.1.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 

17 ADC  dst-address=192.168.4.0/24 pref-src=192.168.4.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 

 

Я делал и через backbone и отдельные зоны называл. Падает СПБ EOIP1.

Про default-originate я не в курсе если честно на mikrotik-ах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Простите, что вмешиваюс в спор гигантов, но за цену одного микротика Cloud Core Router 1016-12G можно взять 10 шт (RB750Gr3) RouterBOARD hEX с апаратным ipsec шфрованием и обеспечить 5-кратное дублирование.

Я к чему - для каждой задачи можно найти оптимальное железо.

Да, но меня вымораживает невозможность влезть в кишки системе, а необходимость возникает всё чаще.

MetrS

Правильно ли я понимаю, что у вас по паре дефолтных роутов в каждом микротике, у которых меняется метрика в зависимости от результатов встроенной пинговалки шлюза? На основании чего выбирается куда отдать внешний интернет трафик пользователей в мир?

Похоже, начинается катавасия с маршрутами при включении OSPF. Как следствие меняется работа пинговалок и тунель падает. Упал тунель, пинговалка отрабатывает нормально, тунель поднимается, поднимается OSPF, приезжают маршруты, пинговалка ломается, тунель падает потому что его убивает пинговалка шлюза прова и т.д. По таймерам с предыдущих скринов похоже.

 

default-originate

Это анонсирование маршрута по умолчанию через протоколы динамической маршрутизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MetrS

Правильно ли я понимаю, что у вас по паре дефолтных роутов в каждом микротике, у которых меняется мерика в зависимости от результатов встроенной пинговалки шлюза? На основании чего выбирается куда отдать внешний интернет трафик пользователей в мир?

Похоже, начинается катавасия с маршрутами при включении OSPF. Как следствие меняется работа пинговалок и тунель падает. Упал тунель, пинговалка отрабатывает нормально, тунель поднимается, поднимается OSPF, приезжают маршруты, пинговалка ломается, тунель падает потому что его убивает пинговалка шлюза прова и т.д. По таймерам с предыдущих скринов похоже.

2 дефолтных роута с разной метрикой (10 и 20). Шлюзы настроены рекурсивно, каждый ип гугла пингуется со своего шлюза провайдера. Как в этой статье: https://vasilevkirill.com/MikroTik/1/ искать по строке "8.8.8.8 recursive via 1.1.1.1"

Снаружи доступны все 2 провайдера, интернетные интерфейсы объединены в правилах firewall под одной группой.

В mangle настроены правила приема пакетов (если пакет пришел с ether1 то уйдет с него же). Это была подготовка для балансировки каналов. С использованием PCC или ECMP, но сейчас идет тупо работа пользователей через один канал, если он падает, то инет идет через второго провайдера с метрикой 20.

 

Туннели идут через между внешними интерфейсами нужных провайдеров.

 

Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров.

 

Например, СПБ:

 

Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки.

Изменено пользователем MetrS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров.

 

Например, СПБ:

 

Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки.

Как вариант, с помощью статических маршрутов можно прибить гвоздями каждый тунель к конкретному провайдеру.

Оно?

Потом отпишитесь, опупея закончилась или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров.

 

Например, СПБ:

 

Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки.

Как вариант, с помощью статических маршрутов можно прибить гвоздями каждый тунель к конкретному провайдеру.

Оно?

Потом отпишитесь, опупея закончилась или нет.

Пока вижу существенное улучшение по скорости. OSPF пока не завелся, подожду до выходных - буду тесты гонять сначала с одним провайдером, затем с двумя.

http://prntscr.com/eve8vy

всем спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95 можно с вами как-нибудь связаться? В ЛС к вам не отправляются.

 

Напишите в профиле вопрос и почту.

 

L2TPv2 в микротике и работает по схеме клиент-сервер. L2TPv3 работает без серверов. Также как и gre или ipip. Это просто инкапсуляция между равноправными узлами. С заголовком, который позволяет разобраться с тем, что за поток трафика обслуживается. Пробростье мне в одном тунеле EoIP 8 Ethernet линков для прозрачного LACP бриджа между филиалами и 4 L3 тунеля без L2 заголовков. Хинт: чтобы это заработало нужно будет купить 16 микротиков и 32 в резерв. На самом деле нет.

 

Это GRE туннель какой-то получается. На самом деле те вопросы, которые вы ставите, решаются несколькими EoIP туннелями, или через MPLS, там все еще проще по теме куче L2 каналов.

 

Туннели сами по себе по дефолтным настройкам очень стабильны. Никогда не падали. Падёж начинается только при OSPF. Добавляю подсеть туннеля 10.10.2.0/24 с двух сторон в OSPF-Networks и на СПБ роутере начинается отвал через 10-20 сек. А ведь даже еще не дошел до добавления подсети офисов.

 

Сделайте трейс с каждой стороны туннеля друг на друга. Иногда бывает такое, что трейс постоянно меняется, и часть каналов не пропускает большие пакеты, потом путь трафика изменяется и они проходят, но после опять перестают.

 

Процессор 2000-2300

Мать 2000

кулер 213 рублей в никсе

Оперативка DDR3 2 Гб 900 руб

флеш USB затычка порта USB3.0 16Gb 460 руб

сетевуха 550руб

корпус с БП 2650

итого порядок до 9500

За цену одного микротика Cloud Core Router 1016-12G я возьму 4 таких самосбора и обеспечу связь двух филиалов с дублированием каждого.

 

И зачем такое барахло? Которое после года эксплуатации только дорога на помойку? На баланс не поставить, стоимости на вторичном рынке нет. А вот на новый микротик есть и гарантия, можно поставить на баланс, то есть если организация зарабатывает деньги, и часть финансовых потоков возвращается на покупку оборудования, то зачем утруждать себя экономией средств организации и собирать б/у сервера, с которыми могут быть проблемы, и потом краснеть за такую технологию, когда удаленный филиал на день останется без связи.

 

Простите, что вмешиваюс в спор гигантов, но за цену одного микротика Cloud Core Router 1016-12G можно взять 10 шт (RB750Gr3) RouterBOARD hEX с апаратным ipsec шфрованием и обеспечить 5-кратное дублирование.

Я к чему - для каждой задачи можно найти оптимальное железо.

 

Конечно - всегда выгодно поставить несколько микротиков, и не использовать IPSEC шифрование, это уже устаревшая технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...не использовать IPSEC шифрование, это уже устаревшая технология...

Любопытно почему? Я без всякой иронии спрашиваю, мне просто интересно понять вашу точку зрения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.