grifin.ru Опубликовано 11 февраля, 2018 · Жалоба Вроде бы ничего страшного, но на практике со стороны VRRP-мастера в сеть смотрят два интерфейса (VRRP и тот, поверх которого этот VRRP натянут). Из-за этого постоянно "дергается" таблица маршрутизации. Пытался даже при помощи Firewalla запретить хождение пакетов через VRRP интерфейс, но что-то не смог "дожать". Кто-нибудь решал такую задачу ? Как сделать чтоб в OSPF работал только один из двух интерфейсов ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 11 февраля, 2018 · Жалоба 2 hours ago, grifin.ru said: Вроде бы ничего страшного, но на практике со стороны VRRP-мастера в сеть смотрят два интерфейса (VRRP и тот, поверх которого этот VRRP натянут). Из-за этого постоянно "дергается" таблица маршрутизации. Пытался даже при помощи Firewalla запретить хождение пакетов через VRRP интерфейс, но что-то не смог "дожать". Кто-нибудь решал такую задачу ? Как сделать чтоб в OSPF работал только один из двух интерфейсов ? На Cisco динамические протоколы строят соседство с реальными интерфейсами с IP address . Виртуальные IP address которые используются для NHRP полностью игнорируются ospf и т.п . Что за устройство у тебя ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 12 февраля, 2018 · Жалоба @EvgeniySerb Микротики CCR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 февраля, 2018 · Жалоба Но зачем? Vrrp создан для резервирование шлюза для хостов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 13 февраля, 2018 · Жалоба @zhenya` Так он именно для этого и используется. OSPF выполняет другую задачу, вопрос в том что он как-то криво ее выполняет при наличии интерфейса VRRP в дополнение к основному интерфейсу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 февраля, 2018 · Жалоба ну поидее у вас VRRP и OSPF должны смотреть вообще в разные интерфейсы, о чем выше намекают хоть убей не понимаю зачем такой дизайн Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 февраля, 2018 · Жалоба @GrandPr1de А, забыл пояснить важный момент ))) OSPF вынуждено смотрит "во все" интерфейсы, ибо должен смотреть в динамические интерфейсы (VPN). Соответственно не нужные" интерфейсы отсекаются firewall'ом и фильтрами внутри уже самого OSPF. Если знаете более красивую схему подцеплять в OSPF сети, приходящие по VPNам - буду благодарен за подсказку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 февраля, 2018 (изменено) · Жалоба Ну только если интерфейсы статичные сделать. Какой тип тунеля? Поидее нужен какой-то IP-IP и ему подобный тунель, которые будут статично настроены и просто переходить в UP когда есть соединение, вместо создания динамической херни. Ну и заставить слушать только нужные интерфейсы. Либо настроить ibgp/ospf unicast. С принудительным указанием IP соседа с кем менятся раутами. Ну и из официальной доки цитата Цитата Also remember that running OSPF on a big number of (flapping) PPP interfaces is not recommended. В общем меняйте дизайн. Изменено 14 февраля, 2018 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 февраля, 2018 · Жалоба Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network Туннели OpenVPN. Статично настроенные - не вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 14 февраля, 2018 · Жалоба В 11.02.2018 в 18:27, grifin.ru сказал: Вроде бы ничего страшного, но на практике со стороны VRRP-мастера в сеть смотрят два интерфейса (VRRP и тот, поверх которого этот VRRP натянут). Из-за этого постоянно "дергается" таблица маршрутизации. Пытался даже при помощи Firewalla запретить хождение пакетов через VRRP интерфейс, но что-то не смог "дожать". Кто-нибудь решал такую задачу ? Как сделать чтоб в OSPF работал только один из двух интерфейсов ? А зачем вообще на интерфейсах, где VRRP OSPF запускать? Сделай эти интерфейсы пассивными, если железо позволяет. Сеть будет расходится, но роутер не будет устанавливаьт OSPF соседство на данных интерфейсах. 5 часов назад, grifin.ru сказал: Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network Туннели OpenVPN. Статично настроенные - не вариант. Все верно. У циски это называется passive-interface Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 февраля, 2018 · Жалоба 6 часов назад, grifin.ru сказал: Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network Туннели OpenVPN. Статично настроенные - не вариант. Галочка passive есть в настройках интерфейса OSPF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 февраля, 2018 · Жалоба Прямо так нет выбора интерфейсов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 февраля, 2018 · Жалоба Добавлять интерфейсы можно, при этом сделанные настройки к интерфейсу применятся, но если его не добавить, то он добавится сам как динамический, при условии что IP адрес интерфейса в попадает в один из диапазонов перечисленных в network Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 февраля, 2018 · Жалоба Ну так сделайте адекватный дизайн бекбона в конце концов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 14 февраля, 2018 · Жалоба 18 hours ago, grifin.ru said: Я тут глянул.... а вообще не нашел у микротика возможность включать или отключать OSPF поинтерфейсно... наверное я все-таки туплю... Он автоматом подключает все интерфейсы, на которых есть адреса, попадающие в диапазоны указанные в network Туннели OpenVPN. Статично настроенные - не вариант. таки сеть задайте как IP-адрес интерфейса только /32 2 hours ago, GrandPr1de said: Ну так сделайте адекватный дизайн бекбона в конце концов. а если это не "бекбон"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 февраля, 2018 · Жалоба 21 минуту назад, rover-lt сказал: а если это не "бекбон"? жопой чую что бекбон Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 февраля, 2018 · Жалоба @GrandPr1de А, забыл пояснить важный момент ))) OSPF вынуждено смотрит "во все" интерфейсы, ибо должен смотреть в динамические интерфейсы (VPN). Соответственно не нужные" интерфейсы отсекаются firewall'ом и фильтрами внутри уже самого OSPF. Если знаете более красивую схему подцеплять в OSPF сети, приходящие по VPNам - буду благодарен за подсказку @GrandPr1de @rover-lt Жопа не обманывает ) Похоже тут дело вообще не в OSPF, см тут: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 февраля, 2018 · Жалоба 1 час назад, rover-lt сказал: таки сеть задайте как IP-адрес интерфейса только /32 OSPF для OSPF что-ли ? У него задача маршрутизировать эту сеть /24 в ней .2 и .3 основной и резервный маршрутизаторы, а .1 - VRRP интерфейс их общий. А остальные - адреса для адресуемого оборудования Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 февраля, 2018 · Жалоба 46 минут назад, grifin.ru сказал: А, забыл пояснить важный момент ))) Уже был мессаг почему так. Я говорю переехать на BGP и не заниматься этим дрочевом. OSPF вообще для других кейсов нужен. Что мешает замутить iBGP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 февраля, 2018 · Жалоба Я подумаю на эту тему ))) Изначально выбирал на чем делать, почему-то выбрал OSPF, хотя раньше с ним не имел дело, а с BGP - работал. Вроде как скорость сходимости у него лучше, или при использовании BFD это неважно ? Мне бы сначала разобраться с проблемой, на которую я ссылку дал. Я так чую что это не OSFP дурит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 15 февраля, 2018 (изменено) · Жалоба 9 hours ago, grifin.ru said: OSPF для OSPF что-ли ? У него задача маршрутизировать эту сеть /24 в ней .2 и .3 основной и резервный маршрутизаторы, а .1 - VRRP интерфейс их общий. А остальные - адреса для адресуемого оборудования network в OSPF это обозначение не анонсируемой сети, а интерфейсов роутера чьи АйПи адреса находятся в этой network. Анонсируются - сконфигурированные на этих интерфейсах подсети. например router ospf network 0.0.0.0 все интерфейсы роутера будут работать в ОСПФ, все директли-аттачед подсети будут анонсироваться ----- router ospf network 10.0.0.0/24 будут участвовать в ОСПФ даже те интерфейсы, которые имеют меньшую маску, например, /16, но их АаПи адрес попадает в 10.0.0.0/24. подсеть 10.0.0.0/8 будет анонсироваться, если интерфейс имеет 10.0.0.3/8 Изменено 15 февраля, 2018 пользователем rover-lt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 15 февраля, 2018 · Жалоба @rover-lt Что-то Ваша теория не наша подтверждения. сменил Network на /32 и OSPF сразу отвалился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 16 февраля, 2018 · Жалоба 20 hours ago, grifin.ru said: @rover-lt Что-то Ваша теория не наша подтверждения. сменил Network на /32 и OSPF сразу отвалился. Что-то не то в датском королевстве Надо описать через /32 каждый интерфейc который должен участвовать в OSPF. У меня (не в этом примере) на туннельные интерфейсы /16 + на каждый нужный /32 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 3 марта, 2018 · Жалоба Не строю сетей на микротиках, а дома не с кем оспф проверить, но полагаю, что добавление интерфейса с флагом Passive отключит OSPF на этом интерфейсе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...