asid2006 Posted April 25, 2019 · Report post Добрый день. Ситуация следующая: - есть маршрутизатор Cisco 3660 (ios 12.3(13)), на котором поднят pptp-сервер - к нему через интернет по pptp подключается MikroTik - на обоих маршрутизаторах настроен ospf Связь есть, всё работает. Как только к этому же серверу по pptp подключается ещё один MikroTik с аналогичными настройками, начинаются проблемы с маршрутизацией: cisco#show ip route ospf Spoiler 10.0.0.0/8 is variably subnetted, 28 subnets, 10 masks O 10.181.96.212/32 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4 O 10.181.96.211/32 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4 O 10.181.110.48/28 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4 O 10.181.110.32/28 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4 При этом: - 10.181.110.32/28 - сеть за микротиком1 - 10.181.110.48/28 - сеть за микротиком2 Т.е. он видит все сети, объявленные на обоих маршрутизаторах, но пытается найти их в одном и том же VPN-интерфейсов. Подскажите, в чём может быть дело и как исправить ситуацию? Для диагностики: Конфиг cisco: Spoiler ... ip tcp path-mtu-discovery ... vpdn enable vpdn ip udp ignore checksum ! vpdn-group PPTP_RT ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ... interface Virtual-Template1 description -> VPN PPTP ip address 10.181.103.1 255.255.255.128 ip mtu 1450 ip ospf network point-to-multipoint ip ospf hello-interval 10 peer default ip address pool PPTP-RT no keepalive ppp encrypt mppe 128 ppp authentication pap eap ms-chap ms-chap-v2 ! router ospf 1 router-id 10.181.96.250 log-adjacency-changes network 10.181.103.0 0.0.0.127 area 10.181.96.0 network 10.181.96.0 0.0.15.255 area 10.181.96.0 ! ip local pool PPTP-RT 10.181.103.2 10.181.103.62 ... Конфиг микротика: Spoiler ... /routing ospf area add area-id=10.181.96.0 name=area-test /routing ospf instance set [ find default=yes ] router-id=10.181.96.212 ... /routing ospf network add area=area-test network=10.181.110.48/28 add area=area-test network=10.181.103.0/25 add area=area-test network=10.181.96.212/32 ... далее команды выполнялись на циске: cisco#sho ip protocols Spoiler Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 10.181.96.250 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 10.181.103.0 0.0.0.127 area 10.181.96.0 10.181.96.0 0.0.15.255 area 10.181.96.0 Routing Information Sources: Gateway Distance Last Update 10.181.96.212 110 00:19:34 10.181.96.211 110 00:19:34 10.181.96.250 110 00:19:34 Distance: (default is 110) cisco#show ip ospf neighbor Spoiler Neighbor ID Pri State Dead Time Address Interface 10.181.96.212 0 FULL/ - 00:00:30 10.181.103.6 Virtual-Access4 10.181.96.211 0 FULL/ - 00:00:37 10.181.103.62 Virtual-Access3 cisco#show ip ospf neighbor detail Spoiler Neighbor 10.181.96.212, interface address 10.181.103.6 In the area 10.181.96.0 via interface Virtual-Access4 Neighbor priority is 0, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:00:37 Neighbor is up for 00:20:42 Index 1/1, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Neighbor 10.181.96.211, interface address 10.181.103.62 In the area 10.181.96.0 via interface Virtual-Access3 Neighbor priority is 0, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:00:35 Neighbor is up for 01:26:05 Index 2/2, retransmission queue length 0, number of retransmission 2 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec cisco#show vpdn session Spoiler %No active L2TP tunnels %No active L2F tunnels PPTP Session Information Total tunnels 2 sessions 2 LocID RemID TunID Intf Username State Last Chg Uniq ID 488 43868 2045 Vi3 nw\vol5_vpn_l estabd 04:45:29 487 489 65104 2046 Vi4 nw\vol5_vpn_z estabd 00:21:20 488 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Archville Posted April 25, 2019 · Report post Мне кажется, что вот это лишнее Цитата interface Virtual-Template1 ip ospf network point-to-multipoint VT это все-таки не PtMP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
asid2006 Posted April 25, 2019 (edited) · Report post 9 minutes ago, Archville said: Мне кажется, что вот это лишнее VT это все-таки не PtMP Если убрать, получается такая картина: cisco#sho ip ospf neighbor Spoiler Neighbor ID Pri State Dead Time Address Interface 10.181.96.212 0 FULL/ - 00:00:32 10.181.103.6 Virtual-Access4 10.181.96.211 0 FULL/ - 00:00:39 10.181.103.62 Virtual-Access3 cisco#sho ip route ospf Spoiler 10.0.0.0/8 is variably subnetted, 26 subnets, 10 masks O 10.181.96.212/32 [110/11] via 10.181.103.6, 00:01:15, Virtual-Access4 O 10.181.110.48/28 [110/11] via 10.181.103.6, 00:01:15, Virtual-Access4 Т.е. маршрутов от одного из роутеров не видно (интерфейс virtual-access 3) Edited April 25, 2019 by asid2006 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted April 25, 2019 · Report post Не проще создать 2 зоны? Как вариант использовать два разных туннеля pptp, l2tp Можно показать состояние оspf, со стороны микротика? routing ospf lsa print show ip ospf database @asid2006 ИМХО нарисуйте схему, кто, что куда должен отдавать. Я так же как и вы задавал вопрос по OSPF, мне сильно не помогли, но мне самому было проще потом найти решение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
asid2006 Posted April 26, 2019 (edited) · Report post 10 hours ago, pingz said: Не проще создать 2 зоны? Как вариант использовать два разных туннеля pptp, l2tp Можно показать состояние оspf, со стороны микротика? routing ospf lsa print show ip ospf database В перспективе таких микротиков будет много. Создавать под каждый отдельную зону - не уверен, что это правильно. cisco#show ip ospf database Spoiler OSPF Router with ID (10.181.96.250) (Process ID 1) Router Link States (Area 10.181.96.0) Link ID ADV Router Age Seq# Checksum Link count 10.181.96.211 10.181.96.211 397 0x8000008D 0x00C8E3 4 10.181.96.212 10.181.96.212 403 0x8000006A 0x00F004 4 10.181.96.250 10.181.96.250 482 0x80000029 0x00BB2E 5 [admin@mikrotik1] > routing ospf lsa print Spoiler AREA TYPE ID ORIGINATOR SEQUENCE-NUMBER AGE area-test router 10.181.96.211 10.181.96.211 0x8000008D 501 area-test router 10.181.96.212 10.181.96.212 0x8000006A 506 area-test router 10.181.96.250 10.181.96.250 0x80000029 586 [admin@mikrotik2] > routing ospf lsa print Spoiler AREA TYPE ID ORIGINATOR SEQUENCE-NUMBER AGE area-test router 10.181.96.211 10.181.96.211 0x8000008D 575 area-test router 10.181.96.212 10.181.96.212 0x8000006A 583 area-test router 10.181.96.250 10.181.96.250 0x80000029 661 Соответственно, 10.181.96.211 и 10.181.96.212 - микротики, 10.181.96.250 - циска Edited April 26, 2019 by asid2006 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted April 26, 2019 · Report post 16 часов назад, asid2006 сказал: Добрый день. Ситуация следующая: - есть маршрутизатор Cisco 3660 (ios 12.3(13)), на котором поднят pptp-сервер - к нему через интернет по pptp подключается MikroTik - на обоих маршрутизаторах настроен ospf Связь есть, всё работает. Как только к этому же серверу по pptp подключается ещё один MikroTik с аналогичными настройками, начинаются проблемы с маршрутизацией: cisco#show ip route ospf Скрыть содержимое 10.0.0.0/8 is variably subnetted, 28 subnets, 10 masks O 10.181.96.212/32 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4 O 10.181.96.211/32 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4 O 10.181.110.48/28 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4 O 10.181.110.32/28 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4 При этом: - 10.181.110.32/28 - сеть за микротиком1 - 10.181.110.48/28 - сеть за микротиком2 Т.е. он видит все сети, объявленные на обоих маршрутизаторах, но пытается найти их в одном и том же VPN-интерфейсов. Подскажите, в чём может быть дело и как исправить ситуацию? Для диагностики: Конфиг cisco: Показать содержимое ... ip tcp path-mtu-discovery ... vpdn enable vpdn ip udp ignore checksum ! vpdn-group PPTP_RT ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ... interface Virtual-Template1 description -> VPN PPTP ip address 10.181.103.1 255.255.255.128 ip mtu 1450 ip ospf network point-to-multipoint ip ospf hello-interval 10 peer default ip address pool PPTP-RT no keepalive ppp encrypt mppe 128 ppp authentication pap eap ms-chap ms-chap-v2 ! router ospf 1 router-id 10.181.96.250 log-adjacency-changes network 10.181.103.0 0.0.0.127 area 10.181.96.0 network 10.181.96.0 0.0.15.255 area 10.181.96.0 ! ip local pool PPTP-RT 10.181.103.2 10.181.103.62 ... Конфиг микротика: Показать содержимое ... /routing ospf area add area-id=10.181.96.0 name=area-test /routing ospf instance set [ find default=yes ] router-id=10.181.96.212 ... /routing ospf network add area=area-test network=10.181.110.48/28 add area=area-test network=10.181.103.0/25 add area=area-test network=10.181.96.212/32 ... далее команды выполнялись на циске: cisco#sho ip protocols Показать содержимое Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 10.181.96.250 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 10.181.103.0 0.0.0.127 area 10.181.96.0 10.181.96.0 0.0.15.255 area 10.181.96.0 Routing Information Sources: Gateway Distance Last Update 10.181.96.212 110 00:19:34 10.181.96.211 110 00:19:34 10.181.96.250 110 00:19:34 Distance: (default is 110) cisco#show ip ospf neighbor Показать содержимое Neighbor ID Pri State Dead Time Address Interface 10.181.96.212 0 FULL/ - 00:00:30 10.181.103.6 Virtual-Access4 10.181.96.211 0 FULL/ - 00:00:37 10.181.103.62 Virtual-Access3 cisco#show ip ospf neighbor detail Показать содержимое Neighbor 10.181.96.212, interface address 10.181.103.6 In the area 10.181.96.0 via interface Virtual-Access4 Neighbor priority is 0, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:00:37 Neighbor is up for 00:20:42 Index 1/1, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Neighbor 10.181.96.211, interface address 10.181.103.62 In the area 10.181.96.0 via interface Virtual-Access3 Neighbor priority is 0, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:00:35 Neighbor is up for 01:26:05 Index 2/2, retransmission queue length 0, number of retransmission 2 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec cisco#show vpdn session Показать содержимое %No active L2TP tunnels %No active L2F tunnels PPTP Session Information Total tunnels 2 sessions 2 LocID RemID TunID Intf Username State Last Chg Uniq ID 488 43868 2045 Vi3 nw\vol5_vpn_l estabd 04:45:29 487 489 65104 2046 Vi4 nw\vol5_vpn_z estabd 00:21:20 488 pptp это p2p интерфейс, надо ставить на циско ( ip ospf network point-to-point на микроте между микротами на l2tp собирал такую схему (звезду на ospf), предлагаю с обеих сторон поставить режим p2p, если не выйдет, то собирать под каждый филиал отдельный pptp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted April 26, 2019 · Report post @asid2006 По сути вам нужно прочитать про lsa, да это тяжело не с первого раза понимаешь скорее нужно прочесть/посмотреть 3-5 статей, тогда придет понимание. Попробую объяснить на пальцах. LSA это информация о сети и каждый уровень информирует о конкретной топологии. pptp, pppoe, l2tp приравниваются к интерфейсу с /32 маской вроде это lsa 1. В кратце либо нужно собрать несколько pptp серверов и к ним прикреплять отдельные зоны ospf(у меня в данный момент порядка 20 зон и не пугает, что их станет 100) Либо интерфейсы pptp бриджевать с lo(для каждого интерфейса свой) в случае с микротиком можно создавать бридж и в этот бридж прикреплять тунель, а уже на бридж вешать зону OSPF. Цисок у меня нет по синтаксису тяжело подсказать. Нужно изучать базу lsa show ip ospf database Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
asid2006 Posted April 26, 2019 · Report post 32 minutes ago, fractal said: pptp это p2p интерфейс, надо ставить на циско ( ip ospf network point-to-point на микроте между микротами на l2tp собирал такую схему (звезду на ospf), предлагаю с обеих сторон поставить режим p2p, если не выйдет, то собирать под каждый филиал отдельный pptp Поставил ip ospf network point-to-point на циске - не помогло. В sho ip route ospf маршруты только с одного из микротиков. Попробую создать отдельные зоны для каждого туннеля. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted April 26, 2019 · Report post 2 часа назад, asid2006 сказал: Поставил ip ospf network point-to-point на циске - не помогло. В sho ip route ospf маршруты только с одного из микротиков. Попробую создать отдельные зоны для каждого туннеля. да, зону то одну можно, просто под каждый филиал (соединение с микротиком) создавать отдельный туннель Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted April 26, 2019 · Report post @fractal не самое лучше решение, если допустим будет 10-20 филиалов и при редактирование зоны будут падать все филиалы. З.Ы. это как на микротике либо ты собираешь 20 pppoe серверов либо 1, либо 1 бридж и 1 DHCP, либо без бриджа, но уже много DHCP серверов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted April 26, 2019 · Report post 1 час назад, pingz сказал: @fractal не самое лучше решение, если допустим будет 10-20 филиалов и при редактирование зоны будут падать все филиалы. З.Ы. это как на микротике либо ты собираешь 20 pppoe серверов либо 1, либо 1 бридж и 1 DHCP, либо без бриджа, но уже много DHCP серверов. решений много, тут кому как нравится, если маршрутов не over дофига то все нормально и на одной Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...