[grifin.ru]

Вроде бы ничего страшного, но на практике со стороны VRRP-мастера в сеть смотрят два интерфейса (VRRP и тот, поверх которого этот VRRP натянут).

Из-за этого постоянно "дергается" таблица маршрутизации.

Пытался даже при помощи Firewalla запретить хождение пакетов через VRRP интерфейс, но что-то не смог "дожать".

Кто-нибудь решал такую задачу ? Как сделать чтоб в OSPF работал только один из двух интерфейсов ?

[EvgeniySerb]

2 hours ago, grifin.ru said:

Вроде бы ничего страшного, но на практике со стороны VRRP-мастера в сеть смотрят два интерфейса (VRRP и тот, поверх которого этот VRRP натянут).

Из-за этого постоянно "дергается" таблица маршрутизации.

Пытался даже при помощи Firewalla запретить хождение пакетов через VRRP интерфейс, но что-то не смог "дожать".

Кто-нибудь решал такую задачу ? Как сделать чтоб в OSPF работал только один из двух интерфейсов ?

На Cisco динамические протоколы строят соседство с реальными интерфейсами с IP address . Виртуальные IP address которые используются для NHRP полностью игнорируются ospf и т.п . Что за устройство у  тебя ? 

[grifin.ru]

@EvgeniySerb 

Микротики CCR

[zhenya`]

Но зачем? Vrrp создан для резервирование шлюза для хостов.

[grifin.ru]

@zhenya` 

Так он именно для этого и используется.

OSPF выполняет другую задачу, вопрос  в том что он как-то криво ее выполняет при наличии интерфейса VRRP в дополнение к основному интерфейсу

[GrandPr1de]

ну поидее у вас VRRP и OSPF должны смотреть вообще в разные интерфейсы, о чем выше намекают

хоть убей не понимаю зачем такой дизайн

[grifin.ru]

@GrandPr1de 

А, забыл пояснить важный момент )))

OSPF вынуждено смотрит "во все" интерфейсы, ибо должен смотреть в динамические интерфейсы (VPN).

Соответственно не нужные" интерфейсы отсекаются firewall'ом и фильтрами внутри уже самого OSPF.

Если знаете более красивую схему подцеплять в OSPF сети, приходящие по VPNам - буду благодарен за подсказку

[GrandPr1de]

Ну только если интерфейсы статичные сделать.

Какой тип тунеля? Поидее нужен какой-то IP-IP и ему подобный тунель, которые будут статично настроены и просто переходить в UP когда есть соединение, вместо создания динамической херни.

Ну и заставить слушать только нужные интерфейсы.

Либо настроить ibgp/ospf unicast. С принудительным указанием IP соседа с кем менятся раутами.

Ну и из официальной доки цитата

Цитата

• Also remember that running OSPF on a big number of (flapping) PPP interfaces is not recommended.

В общем меняйте дизайн.

Изменено 14 февраля, 2018 пользователем GrandPr1de

[grifin.ru]

Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network

Туннели OpenVPN. Статично настроенные - не вариант.

 

[fox_m]

В 11.02.2018 в 18:27, grifin.ru сказал:

Вроде бы ничего страшного, но на практике со стороны VRRP-мастера в сеть смотрят два интерфейса (VRRP и тот, поверх которого этот VRRP натянут).

Из-за этого постоянно "дергается" таблица маршрутизации.

Пытался даже при помощи Firewalla запретить хождение пакетов через VRRP интерфейс, но что-то не смог "дожать".

Кто-нибудь решал такую задачу ? Как сделать чтоб в OSPF работал только один из двух интерфейсов ?

А зачем вообще на интерфейсах, где VRRP OSPF запускать? Сделай эти интерфейсы пассивными, если железо позволяет. Сеть будет расходится, но роутер не будет устанавливаьт OSPF соседство на данных интерфейсах.

 

5 часов назад, grifin.ru сказал:

Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network

Туннели OpenVPN. Статично настроенные - не вариант.

 

 

Все верно. У циски это называется passive-interface

[NikAlexAn]

6 часов назад, grifin.ru сказал:

Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network

Туннели OpenVPN. Статично настроенные - не вариант.

 

Галочка passive есть в настройках интерфейса OSPF

[GrandPr1de]

 

Прямо так нет выбора интерфейсов?

[grifin.ru]

Добавлять интерфейсы можно, при этом сделанные настройки к интерфейсу применятся, но если его не добавить, то он добавится сам как динамический, при условии что IP адрес интерфейса в попадает в один из диапазонов перечисленных в network

[GrandPr1de]

Ну так сделайте адекватный дизайн бекбона в конце концов.

[rover-lt]

18 hours ago, grifin.ru said:

Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network

Туннели OpenVPN. Статично настроенные - не вариант.

 

таки сеть задайте как IP-адрес интерфейса только /32

 

2 hours ago, GrandPr1de said:

Ну так сделайте адекватный дизайн бекбона в конце концов.

а если это не "бекбон"?

[GrandPr1de]

21 минуту назад, rover-lt сказал:

а если это не "бекбон"?

жопой чую что бекбон

[grifin.ru]

@GrandPr1de 

А, забыл пояснить важный момент )))

OSPF вынуждено смотрит "во все" интерфейсы, ибо должен смотреть в динамические интерфейсы (VPN).

Соответственно не нужные" интерфейсы отсекаются firewall'ом и фильтрами внутри уже самого OSPF.

Если знаете более красивую схему подцеплять в OSPF сети, приходящие по VPNам - буду благодарен за подсказку

 

@GrandPr1de @rover-lt 

Жопа не обманывает )

Похоже тут дело вообще не в OSPF, см тут:

 

[grifin.ru]

1 час назад, rover-lt сказал:

таки сеть задайте как IP-адрес интерфейса только /32

OSPF для OSPF  что-ли ?

У него задача маршрутизировать эту сеть /24

в ней .2 и .3 основной и резервный маршрутизаторы, а .1 - VRRP интерфейс их общий. А остальные - адреса для адресуемого оборудования

[GrandPr1de]

46 минут назад, grifin.ru сказал:

А, забыл пояснить важный момент )))

Уже был мессаг почему так.

Я говорю переехать на BGP и не заниматься этим дрочевом.

OSPF вообще для других кейсов нужен. 

 

Что мешает замутить iBGP?

[grifin.ru]

Я подумаю на эту тему )))

Изначально выбирал на чем делать, почему-то выбрал OSPF, хотя раньше с ним не имел дело, а с BGP - работал.

 

Вроде как скорость сходимости у него лучше, или при использовании BFD это неважно ?

 

 

Мне бы сначала разобраться с проблемой, на которую я ссылку дал. Я так чую что это не OSFP дурит

 

[rover-lt]

9 hours ago, grifin.ru said:

OSPF для OSPF  что-ли ?

У него задача маршрутизировать эту сеть /24

в ней .2 и .3 основной и резервный маршрутизаторы, а .1 - VRRP интерфейс их общий. А остальные - адреса для адресуемого оборудования

network в OSPF это обозначение не анонсируемой сети, а интерфейсов роутера чьи АйПи адреса находятся в этой network. Анонсируются - сконфигурированные на этих интерфейсах подсети.

например
router ospf
 network 0.0.0.0
все интерфейсы роутера будут работать в ОСПФ, все директли-аттачед подсети будут анонсироваться

-----

router ospf 
 network 10.0.0.0/24

будут участвовать в ОСПФ даже те интерфейсы, которые имеют меньшую маску, например, /16, но их АаПи адрес попадает в 10.0.0.0/24. подсеть 10.0.0.0/8 будет анонсироваться, если интерфейс имеет 10.0.0.3/8

Изменено 15 февраля, 2018 пользователем rover-lt

[grifin.ru]

@rover-lt 

Что-то Ваша теория не наша подтверждения. сменил Network на /32 и OSPF сразу отвалился.

[rover-lt]

20 hours ago, grifin.ru said:

@rover-lt 

Что-то Ваша теория не наша подтверждения. сменил Network на /32 и OSPF сразу отвалился.

Что-то не то в датском королевстве

 

Надо описать через /32 каждый интерфейc который должен участвовать в OSPF. У меня (не в этом примере) на туннельные интерфейсы /16 + на каждый нужный /32

[anatoly]

Не строю сетей на микротиках, а дома не с кем оспф проверить, но полагаю, что добавление интерфейса с флагом Passive отключит OSPF на этом интерфейсе