Jump to content
Калькуляторы

OSPF over PPTP (Cisco+MikroTik)

Добрый день. Ситуация следующая:

- есть маршрутизатор Cisco 3660 (ios 12.3(13)), на котором поднят pptp-сервер

- к нему через интернет по pptp подключается MikroTik

- на обоих маршрутизаторах настроен ospf

 

Связь есть, всё работает.

 

Как только к этому же серверу по pptp подключается ещё один MikroTik с аналогичными настройками, начинаются проблемы с маршрутизацией:

 

cisco#show ip route ospf

Spoiler

     10.0.0.0/8 is variably subnetted, 28 subnets, 10 masks
O       10.181.96.212/32 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4
O       10.181.96.211/32 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4
O       10.181.110.48/28 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4
O       10.181.110.32/28 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4

 

При этом:

- 10.181.110.32/28 - сеть за микротиком1

- 10.181.110.48/28 - сеть за микротиком2

 

Т.е. он видит все сети, объявленные на обоих маршрутизаторах, но пытается найти их в одном и том же VPN-интерфейсов.

 

Подскажите, в чём может быть дело и как исправить ситуацию?

 

Для диагностики:

Конфиг cisco:
 

Spoiler

...
ip tcp path-mtu-discovery
...
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group PPTP_RT
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
...
interface Virtual-Template1
 description -> VPN PPTP
 ip address 10.181.103.1 255.255.255.128
 ip mtu 1450
 ip ospf network point-to-multipoint
 ip ospf hello-interval 10
 peer default ip address pool PPTP-RT
 no keepalive
 ppp encrypt mppe 128
 ppp authentication pap eap ms-chap ms-chap-v2
!
router ospf 1
 router-id 10.181.96.250
 log-adjacency-changes
 network 10.181.103.0 0.0.0.127 area 10.181.96.0
 network 10.181.96.0 0.0.15.255 area 10.181.96.0
!
ip local pool PPTP-RT 10.181.103.2 10.181.103.62
...

 

Конфиг микротика:

Spoiler

...
/routing ospf area
add area-id=10.181.96.0 name=area-test
/routing ospf instance
set [ find default=yes ] router-id=10.181.96.212
...
/routing ospf network
add area=area-test network=10.181.110.48/28
add area=area-test network=10.181.103.0/25
add area=area-test network=10.181.96.212/32
...

 

 

далее команды выполнялись на циске:

 

cisco#sho ip protocols

Spoiler

Routing Protocol is "ospf 1"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Router ID 10.181.96.250
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Maximum path: 4
  Routing for Networks:
    10.181.103.0 0.0.0.127 area 10.181.96.0
    10.181.96.0 0.0.15.255 area 10.181.96.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.181.96.212        110      00:19:34
    10.181.96.211        110      00:19:34
    10.181.96.250        110      00:19:34
  Distance: (default is 110)

 
cisco#show ip ospf neighbor

 

Spoiler

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.181.96.212     0   FULL/  -        00:00:30    10.181.103.6    Virtual-Access4
10.181.96.211     0   FULL/  -        00:00:37    10.181.103.62   Virtual-Access3

 

cisco#show ip ospf neighbor detail
 

Spoiler

Neighbor 10.181.96.212, interface address 10.181.103.6
    In the area 10.181.96.0 via interface Virtual-Access4
    Neighbor priority is 0, State is FULL, 6 state changes
    DR is 0.0.0.0 BDR is 0.0.0.0
    Options is 0x42
    Dead timer due in 00:00:37
    Neighbor is up for 00:20:42
    Index 1/1, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
 Neighbor 10.181.96.211, interface address 10.181.103.62
    In the area 10.181.96.0 via interface Virtual-Access3
    Neighbor priority is 0, State is FULL, 6 state changes
    DR is 0.0.0.0 BDR is 0.0.0.0
    Options is 0x42
    Dead timer due in 00:00:35
    Neighbor is up for 01:26:05
    Index 2/2, retransmission queue length 0, number of retransmission 2
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec


cisco#show vpdn session

 

Spoiler

 

%No active L2TP tunnels

%No active L2F tunnels

PPTP Session Information Total tunnels 2 sessions 2

LocID RemID TunID Intf    Username      State   Last Chg Uniq ID
488   43868 2045  Vi3     nw\vol5_vpn_l estabd  04:45:29 487
489   65104 2046  Vi4     nw\vol5_vpn_z estabd  00:21:20 488

 

 

 

 

 

 

 

 

Share this post


Link to post
Share on other sites

Мне кажется, что вот это лишнее

Цитата

interface Virtual-Template1
 ip ospf network point-to-multipoint

VT это все-таки не PtMP

Share this post


Link to post
Share on other sites

9 minutes ago, Archville said:

Мне кажется, что вот это лишнее

VT это все-таки не PtMP

Если убрать, получается такая картина:

 

cisco#sho ip ospf neighbor

Spoiler

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.181.96.212     0   FULL/  -        00:00:32    10.181.103.6    Virtual-Access4
10.181.96.211     0   FULL/  -        00:00:39    10.181.103.62   Virtual-Access3

 


cisco#sho ip route ospf

Spoiler

     10.0.0.0/8 is variably subnetted, 26 subnets, 10 masks
O       10.181.96.212/32 [110/11] via 10.181.103.6, 00:01:15, Virtual-Access4
O       10.181.110.48/28 [110/11] via 10.181.103.6, 00:01:15, Virtual-Access4


Т.е. маршрутов от одного из роутеров не видно (интерфейс virtual-access 3)

Edited by asid2006

Share this post


Link to post
Share on other sites

Не проще создать 2 зоны? 

Как вариант использовать два разных туннеля pptp, l2tp

 

Можно показать состояние оspf, со стороны микротика? 

 

routing ospf lsa print

show ip ospf database 

 

@asid2006 

 

 

ИМХО нарисуйте схему, кто, что куда должен отдавать. 

Я так же как и вы задавал вопрос по OSPF, мне сильно не помогли, но мне самому было проще потом найти решение. 

 

 

Share this post


Link to post
Share on other sites

10 hours ago, pingz said:

Не проще создать 2 зоны? 

Как вариант использовать два разных туннеля pptp, l2tp

 

Можно показать состояние оspf, со стороны микротика? 

 

routing ospf lsa print

show ip ospf database 

 

В перспективе таких микротиков будет много. Создавать под каждый отдельную зону - не уверен, что это правильно.

 

cisco#show ip ospf database

Spoiler

 

            OSPF Router with ID (10.181.96.250) (Process ID 1)

                Router Link States (Area 10.181.96.0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.181.96.211   10.181.96.211   397         0x8000008D 0x00C8E3 4
10.181.96.212   10.181.96.212   403         0x8000006A 0x00F004 4
10.181.96.250   10.181.96.250   482         0x80000029 0x00BB2E 5

 


[admin@mikrotik1] > routing ospf lsa print 

Spoiler

AREA          TYPE         ID             ORIGINATOR     SEQUENCE-NUMBER        AGE
area-test     router       10.181.96.211  10.181.96.211       0x8000008D        501
area-test     router       10.181.96.212  10.181.96.212       0x8000006A        506
area-test     router       10.181.96.250  10.181.96.250       0x80000029        586

 

[admin@mikrotik2] > routing ospf lsa print 

Spoiler

AREA          TYPE         ID             ORIGINATOR     SEQUENCE-NUMBER        AGE
area-test     router       10.181.96.211  10.181.96.211       0x8000008D        575
area-test     router       10.181.96.212  10.181.96.212       0x8000006A        583
area-test     router       10.181.96.250  10.181.96.250       0x80000029        661

 

Соответственно, 10.181.96.211 и 10.181.96.212 - микротики, 10.181.96.250 - циска

Edited by asid2006

Share this post


Link to post
Share on other sites

16 часов назад, asid2006 сказал:

Добрый день. Ситуация следующая:

- есть маршрутизатор Cisco 3660 (ios 12.3(13)), на котором поднят pptp-сервер

- к нему через интернет по pptp подключается MikroTik

- на обоих маршрутизаторах настроен ospf

 

Связь есть, всё работает.

 

Как только к этому же серверу по pptp подключается ещё один MikroTik с аналогичными настройками, начинаются проблемы с маршрутизацией:

 

cisco#show ip route ospf

  Скрыть содержимое

     10.0.0.0/8 is variably subnetted, 28 subnets, 10 masks
O       10.181.96.212/32 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4
O       10.181.96.211/32 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4
O       10.181.110.48/28 [110/11] via 10.181.103.6, 00:04:19, Virtual-Access4
O       10.181.110.32/28 [110/11] via 10.181.103.62, 00:04:19, Virtual-Access4

 

При этом:

- 10.181.110.32/28 - сеть за микротиком1

- 10.181.110.48/28 - сеть за микротиком2

 

Т.е. он видит все сети, объявленные на обоих маршрутизаторах, но пытается найти их в одном и том же VPN-интерфейсов.

 

Подскажите, в чём может быть дело и как исправить ситуацию?

 

Для диагностики:

Конфиг cisco:
 

  Показать содержимое

...
ip tcp path-mtu-discovery
...
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group PPTP_RT
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
...
interface Virtual-Template1
 description -> VPN PPTP
 ip address 10.181.103.1 255.255.255.128
 ip mtu 1450
 ip ospf network point-to-multipoint
 ip ospf hello-interval 10
 peer default ip address pool PPTP-RT
 no keepalive
 ppp encrypt mppe 128
 ppp authentication pap eap ms-chap ms-chap-v2
!
router ospf 1
 router-id 10.181.96.250
 log-adjacency-changes
 network 10.181.103.0 0.0.0.127 area 10.181.96.0
 network 10.181.96.0 0.0.15.255 area 10.181.96.0
!
ip local pool PPTP-RT 10.181.103.2 10.181.103.62
...

 

Конфиг микротика:

  Показать содержимое

...
/routing ospf area
add area-id=10.181.96.0 name=area-test
/routing ospf instance
set [ find default=yes ] router-id=10.181.96.212
...
/routing ospf network
add area=area-test network=10.181.110.48/28
add area=area-test network=10.181.103.0/25
add area=area-test network=10.181.96.212/32
...

 

 

далее команды выполнялись на циске:

 

cisco#sho ip protocols

  Показать содержимое

Routing Protocol is "ospf 1"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Router ID 10.181.96.250
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Maximum path: 4
  Routing for Networks:
    10.181.103.0 0.0.0.127 area 10.181.96.0
    10.181.96.0 0.0.15.255 area 10.181.96.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.181.96.212        110      00:19:34
    10.181.96.211        110      00:19:34
    10.181.96.250        110      00:19:34
  Distance: (default is 110)

 
cisco#show ip ospf neighbor

 

  Показать содержимое

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.181.96.212     0   FULL/  -        00:00:30    10.181.103.6    Virtual-Access4
10.181.96.211     0   FULL/  -        00:00:37    10.181.103.62   Virtual-Access3

 

cisco#show ip ospf neighbor detail
 

  Показать содержимое

Neighbor 10.181.96.212, interface address 10.181.103.6
    In the area 10.181.96.0 via interface Virtual-Access4
    Neighbor priority is 0, State is FULL, 6 state changes
    DR is 0.0.0.0 BDR is 0.0.0.0
    Options is 0x42
    Dead timer due in 00:00:37
    Neighbor is up for 00:20:42
    Index 1/1, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
 Neighbor 10.181.96.211, interface address 10.181.103.62
    In the area 10.181.96.0 via interface Virtual-Access3
    Neighbor priority is 0, State is FULL, 6 state changes
    DR is 0.0.0.0 BDR is 0.0.0.0
    Options is 0x42
    Dead timer due in 00:00:35
    Neighbor is up for 01:26:05
    Index 2/2, retransmission queue length 0, number of retransmission 2
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec


cisco#show vpdn session

 

  Показать содержимое

 

%No active L2TP tunnels

%No active L2F tunnels

PPTP Session Information Total tunnels 2 sessions 2

LocID RemID TunID Intf    Username      State   Last Chg Uniq ID
488   43868 2045  Vi3     nw\vol5_vpn_l estabd  04:45:29 487
489   65104 2046  Vi4     nw\vol5_vpn_z estabd  00:21:20 488

 

 

 

 

 

 

 

 

pptp это p2p интерфейс, надо ставить на циско (

ip ospf network point-to-point

на микроте между микротами на l2tp собирал такую схему (звезду на ospf), предлагаю с обеих сторон поставить режим p2p, если не выйдет, то собирать под каждый филиал отдельный pptp

Share this post


Link to post
Share on other sites

@asid2006  По сути вам нужно прочитать про  lsa, да это тяжело не с первого раза понимаешь скорее нужно прочесть/посмотреть 3-5 статей, тогда придет понимание.

 

Попробую объяснить на пальцах. 

LSA это информация о сети и каждый уровень информирует о конкретной топологии. 

pptp, pppoe, l2tp приравниваются к интерфейсу с /32 маской вроде это lsa 1. 

 

В кратце либо нужно собрать несколько pptp серверов и к ним прикреплять отдельные зоны ospf(у меня в данный момент порядка 20 зон  и не пугает, что их станет 100)

Либо интерфейсы pptp бриджевать с lo(для каждого интерфейса свой) в случае с микротиком можно создавать бридж и в этот бридж прикреплять тунель, а уже на бридж вешать зону OSPF. 

 

 

Цисок у меня нет по синтаксису тяжело подсказать. 

 

Нужно изучать базу lsa 

 

show ip ospf database

 

 

Share this post


Link to post
Share on other sites

32 minutes ago, fractal said:

pptp это p2p интерфейс, надо ставить на циско (


ip ospf network point-to-point

на микроте между микротами на l2tp собирал такую схему (звезду на ospf), предлагаю с обеих сторон поставить режим p2p, если не выйдет, то собирать под каждый филиал отдельный pptp

Поставил ip ospf network point-to-point на циске - не помогло. В sho ip route ospf маршруты только с одного из микротиков. Попробую создать отдельные зоны для каждого туннеля.

Share this post


Link to post
Share on other sites

2 часа назад, asid2006 сказал:

Поставил ip ospf network point-to-point на циске - не помогло. В sho ip route ospf маршруты только с одного из микротиков. Попробую создать отдельные зоны для каждого туннеля.

да, зону то одну можно, просто под каждый филиал (соединение с микротиком) создавать отдельный туннель

Share this post


Link to post
Share on other sites

@fractal не самое лучше решение, если допустим будет 10-20 филиалов и при редактирование зоны будут падать все филиалы. 

 

З.Ы. это как на микротике либо ты собираешь 20 pppoe серверов либо 1, либо 1 бридж и 1 DHCP, либо без бриджа, но уже много DHCP серверов. 

Share this post


Link to post
Share on other sites

1 час назад, pingz сказал:

@fractal не самое лучше решение, если допустим будет 10-20 филиалов и при редактирование зоны будут падать все филиалы. 

 

З.Ы. это как на микротике либо ты собираешь 20 pppoe серверов либо 1, либо 1 бридж и 1 DHCP, либо без бриджа, но уже много DHCP серверов. 

решений много, тут кому как нравится, если маршрутов не over дофига то все нормально и на одной

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.