VLAN, и непонятки с маршрутизацией.

[Leninxxx]

Есть Микротик до которого через инет, в тоннеле проброшен VPLS c пачкой VLAN. За ним так же есть сеть (10.28.1.0/24), которую надо так же запихать в один из виланов (конкретно в 28).

На другом конце VPLS так же стоит микротик, за которым другая сеть (10.20.1.0/24). На нем из VPLS выведен интерфейс VLAN28 и на этот интерфейс повешен адрес 10.28.1.254/24, который иногда используется как шлюз для доступа в интернет из сети 10.28.1.0/24 через роутер сети 10.20.1.0/24.

Так же прописаны маршруты с обоих сторон на сети 10.20.1.0/24 и 10.28.1.0/24 для доступа к ресурсам обоих сетей.

 

Вроде бы все работает, но есть одна странность. Если пингуем из сети 10.28.1.0/24 любой адрес сети 10.20.1.0/24, то пинг проходит нормально. А вот если пинг идет в обратную сторону - из сети 10.20.1.0/24 в 10.28.1.0/24, то пингуется нормально только IP бриджа. От остальных хостов ответный пакет идет до бриджа и на это все. Как будто нет маршрута.

 

Настроено так:

 

R1

/interface bridge
add name=bridge
add fast-forward=no mtu=1448 name=bridge-253
add name=bridge-vpls
/interface vpls
add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:36:07:39:B9:5C mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=20:25
/interface vlan
add interface=vpls name=vlan-28-vpls vlan-id=28
/interface bridge port
add bridge=bridge interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip address
add address=10.20.1.240/24 interface=bridge network=10.20.1.0
add address=10.28.1.254/24 interface=vlan-28-vpls network=10.28.1.0

 

Маршруты поднялись сами:

 

R2:

К ether4 подключен свитч а к нему уже хосты.

 

/interface bridge
add name=bridge-local
add name=bridge-vpls
/interface vpls
add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:A5:70:36:1A:4B mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=25:28
/interface vlan
add interface=vpls name=vlan-28-vpls vlan-id=28
add interface=ether4 name=vlan-253-server vlan-id=253
add interface=vpls name=vlan-253-vpls vlan-id=253
/interface bridge port
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=vlan-28-vpls
add bridge=bridge-vpls interface=vlan-253-server
add bridge=bridge-vpls interface=vlan-253-vpls
add bridge=bridge-vpls interface=vpls
/ip address
add address=10.28.1.240/24 interface=bridge-local network=10.28.1.0
/ip route
add distance=1 dst-address=10.20.1.0/24 gateway=10.28.1.254

 

Eсли с хоста 10.28.1.241 запустить пинг до 10.20.1.45 - то пинг проходит прекрасно, причем в сниффере на R2 это выглядит так:

 

Мне одному кажется несколько странным что я не вижу как пакет ПЕРЕДАЕТСЯ в ether4? 

 

Пинг в обратную сторону - не проходит. Сниффер на R2 показывает такое:

И если верить снифферу на R1 то ответ на сторону R1 не возвращается.

Что-то мне подсказывает что ответный пакет, попав на bridge-local просто не уходит в vlan-28-vpls почему-то.

 

Кто подскажет что я делаю не так?

[nkusnetsov]

8 часов назад, Leninxxx сказал:

/interface vpls
add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:36:07:39:B9:5C mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=20:25

 

8 часов назад, Leninxxx сказал:

/interface vpls
add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:A5:70:36:1A:4B mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=25:28

У Вас vpls-id разбежались. Попробуйте указать одинаковые для туннеля.

Edited June 4, 2019 by nkusnetsov

[Leninxxx]

3 часа назад, nkusnetsov сказал:

 

У Вас vpls-id разбежались. Попробуйте указать одинаковые для туннеля.

 

На самом деле это два разных тоннеля которые забриджованы на третьем роутере.

 

Попробовал поднять эту же схему без VPLS на тоннелях GRE - все работает. Похоже на какой-то косяк с самим VPLS.

[user71]

3 hours ago, nkusnetsov said:

У Вас vpls-id разбежались

они и должны быть разными. Там импорт\экспорт рулит свой\не свой тунель.

[Leninxxx]

5 часов назад, nkusnetsov сказал:

 

У Вас vpls-id разбежались. Попробуйте указать одинаковые для туннеля.

 

 

1 час назад, user71 сказал:

они и должны быть разными. Там импорт\экспорт рулит свой\не свой тунель.

Ради чистоты эксперимента установил одинаковый vpls-id на обоих тоннелях. Получилось что на третьем роутере, где встречаются эти два тоннеля - было ДВА тоннеля с одинаковым vpls-id. Все продолжило работать так же, никаких изменений. Бридж, связывающий тоннели тоже пришлось оставить, т.к. без него не захотело взлетать(была надежда).

 

На деле получается что VPLS-ID должен быть одинаковым на обоих концах конкретного тоннеля. Остальное не важно. По крайней мере экспериментально выяснилось именно такое поведение.

 

Ну и это опять же не дает никакого ответа, почему у меня пакеты ходят только в одну сторону.

[nkusnetsov]

@Leninxxx , vpls-ip должны быть одинаковыми на обоих концах одного тоннеля.

Если у Вас три VPLS-линка, у Вас должен быть для каждого свой ID.

Давайте подробности схемы. Вангую, у Вас три роутера и схема "треугольник"?

Edited June 4, 2019 by nkusnetsov

[user71]

да не работает с одинаковым ойдишником вчера только проверял. И заметь у меня то оно работает с РАЗНЫМИ ид. а у вас с одинаковыми НЕ работает. о чем спор? Единственное я не могу добится отказоустойчивости этой.... влпс, не хочет он через другой путь подниматся. TE вот работает, л3 работает а этот нет

Edited June 4, 2019 by user71

[Leninxxx]

8 часов назад, nkusnetsov сказал:

@Leninxxx , vpls-ip должны быть одинаковыми на обоих концах одного тоннеля.

Если у Вас три VPLS-линка, у Вас должен быть для каждого свой ID.

Давайте подробности схемы. Вангую, у Вас три роутера и схема "треугольник"?

 

Я же говорю, специально проверил - три живых VPLS с одинаковыми ID прекрасно живут на одной железке.

8 часов назад, nkusnetsov сказал:

@Leninxxx , vpls-ip должны быть одинаковыми на обоих концах одного тоннеля.

Если у Вас три VPLS-линка, у Вас должен быть для каждого свой ID.

Давайте подробности схемы. Вангую, у Вас три роутера и схема "треугольник"?

 

Схема саимх VPLS довольно большая, да и не к чему оно. Все работает достаточно ровно. Не работает только тот момент что я описал в первом посте. Общая схема сети тут не поможет...

3 часа назад, user71 сказал:

И заметь у меня то оно работает с РАЗНЫМИ ид. а у вас с одинаковыми НЕ работает.

У меня сам VPLS работает в любой комбинации, главное чтобы на концах одного были одинаковые ID. А вот при маршрутицации пакета, он(пакет) почему-то не залетает внутрь тоннеля а виснет на бридже. Причем происходит это только если инициатор соединения на другой стороне тоннеля. Если инициатор на этой стороне - все работает изумительно.

Вопрос почему так происходит по прежнему открыт.

[nkusnetsov]

@user71 , что-то Вы не так проверяли. В вендорской вики: "VPLS tunnels are configured in /interface vpls menu. vpls-id parameter identifies VPLS tunnel and must be unique for every tunnel between this and remote peer."
Там же пример конфига с описаниями.

Т.е. с разными id оно имеет право не работать. Потом, при следующем обновлении развалится, и авторы инвалидных конфигов опять будут ругать микротик.

Edited June 5, 2019 by nkusnetsov

[user71]

@nkusnetsov unique и переводится как уникальный не? :D

в примере с вики неправильный вплс. он лдпшный не появляется динамически нужны мосты кака вообщем.

[Leninxxx]

1 час назад, user71 сказал:

в примере с вики неправильный вплс. он лдпшный не появляется динамически нужны мосты кака вообщем.

Можно попродробнее? Почему неправильный и как именно правильно?

Может даже в мануальчик ткнете?

Без мостов - было бы очень интересно.

Edited June 5, 2019 by Leninxxx

[user71]

так в вашем же мануале в самом конце бгпвплс. Типа все сделали, всю боль прочуствовали - некс лвл -)

[nkusnetsov]

@user71 , речь шла о vpls-id. В обоих примерах он "unique for every tunnel between this and remote peer."

 

В 05.06.2019 в 05:27, Leninxxx сказал:

Я же говорю, специально проверил - три живых VPLS с одинаковыми ID прекрасно живут на одной железке.

Схема саимх VPLS довольно большая, да и не к чему оно. Все работает достаточно ровно. Не работает только тот момент что я описал в первом посте. Общая схема сети тут не поможет...

У меня сам VPLS работает в любой комбинации, главное чтобы на концах одного были одинаковые ID. А вот при маршрутицации пакета, он(пакет) почему-то не залетает внутрь тоннеля а виснет на бридже. Причем происходит это только если инициатор соединения на другой стороне тоннеля. Если инициатор на этой стороне - все работает изумительно.

Вопрос почему так происходит по прежнему открыт.

Для BGP-Based, касательно маршрута, ваша догадка, похоже, верна. И "секрет" в vpls-id и import/export targets. Цитирую wiki: "Note: Since v3.20 vpls-id was replaced with separate import/export-route-targets to provide more flexibility."

Или у Вас LDP-based ?
 

Edited June 6, 2019 by nkusnetsov

[user71]

нет у меня бгп. Может у него маршрута нет или вплс в обратную сторону неработоспособен ?

[nkusnetsov]

deleted

Edited June 7, 2019 by nkusnetsov

[Leninxxx]

В 06.06.2019 в 08:36, nkusnetsov сказал:

Или у Вас LDP-based ?

У меня-то как раз LDP.

За неделю провел десяток экспериментов, вплоть до замены железа на 4011, 750Gr3 и 760GS. Ситуация никак не меняется.

 

Подумалось - а может быть косяк в самой операционке(прошивке) и надо писать в ТП микротика?

[user71]

23 hours ago, Leninxxx said:

Подумалось - а может быть косяк в самой операционке(прошивке) и надо писать в ТП микротика?

ха-ха. ну напиши напиши. Ты видимо один из тех кто верует что у микротика есть саппорт.

 

Я их год пинал за косяки в свитче. они только сейчас стали понимать о чем я говорил, не не пофиксили пытаются

[Leninxxx]

В 19.06.2019 в 01:11, user71 сказал:

ха-ха. ну напиши напиши. Ты видимо один из тех кто верует что у микротика есть саппорт.

 

Я их год пинал за косяки в свитче. они только сейчас стали понимать о чем я говорил, не не пофиксили пытаются

))) Я в этой жизни уже ни во что не верю. Точнее верю в то может быть все что угодно, только не то что нужно.

Так что и сам склоняюсь к мысли что эффекта от обращения не будет. Тем более что у них на сайте черным по белому написано "если вы покупали железо не у нас - с вопросами идите к продавцу", а большинство продавцов - именно продавцы...

 

В ТП микротика писать вряд-ли буду, с инглишем проблема, просто обидно.

Это уже второй подобный косяк с микротиком у меня, но альтернатив по цене не нашел... Обидно...

[Saab95]

Перейдите на L3 сеть и все проблемы уйдут.

[maxkst]

В 21.06.2019 в 16:29, Leninxxx сказал:

Тем более что у них на сайте черным по белому написано "если вы покупали железо не у нас - с вопросами идите к продавцу", а большинство продавцов - именно продавцы...

Ну и нормально, напишите пробавцу емайл, они отфутболят на МТ, и спокойно обращайтесь в ТП с копией письма от продавана. Правда ждать прийдется, но ответят

[pingz]

@Leninxxx конфиг либо не полный либо на р1 нет маршрута, ещё бы не плохо правила фаервола и ната

[Leninxxx]

В 23.06.2019 в 20:33, Saab95 сказал:

Перейдите на L3 сеть и все проблемы уйдут.

Не вариант... (

В 25.06.2019 в 01:03, pingz сказал:

@Leninxxx конфиг либо не полный либо на р1 нет маршрута, ещё бы не плохо правила фаервола и ната

Какого именно маршрута, там вроде адреса в одной L2 сети...?
А вот правила FW и нат зачем? Оно как бы не используется в этих соединениях, от слова совсем, иначе упомянул бы. 

[pingz]

@Leninxxx По поводу L3 вы зря если нужна связанность l2 в нутри маршутизатора купите отдельный коммутатор. (по секрету саб бы предложил то же самое) 

 

По поводу ната:

Вот пример простого ната и если у меня не будет исключения в этом правилу все будет работать по этому правилу. Т.к. какие бы маршуты я бы не прописал все будет работать согласно этому правилу. 

chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1 log=no log-prefix="" 

Правила ната имеют место быть. 

 

Я понимаю, что роуты прописывать через запись ip это элегантно, а вы не пробовали по старинке все прописывать? ip--->routes 

 

В моем понимании:

 

R1

eth1   ip 192.168.0.1/24

vlan28 ip 192.168.1.1/24

и роут, что сеть 192.168.2.0/24 находится за 192.168.1.2

 

R2

eth1 ip 192.168.2.1/24

vlan28 ip 192.168.1.2/24

и роут, что сеть 192.168.0.0/24 находится за 192.168.1.1

 

 

 

 

 

 

 

 

 

[Leninxxx]

В 10.07.2019 в 15:42, pingz сказал:

По поводу L3 вы зря если нужна связанность l2 внутри маршутизатора купите отдельный коммутатор.

Как вариант, теоретически рассматривал такую возможность, но пока все работает, в одну сторону, но пока хватает. Да и вообще оп логике-то должно работать и внутри роутера

 

В 10.07.2019 в 15:42, pingz сказал:

По поводу ната:

Нат, если не ошибаюсь подменяет IP. У меня адреса остаются оригинальными.

 

Предположим на бридже - 192.168.0.1/24, есть тоннель EOIP включенный в бридж. На дальнем конце EOIP установлен адрес 192.168.0.100. Так же на удаленном роутере сеть 192.168.10.0/24. до которого, на первом роутере, есть маршрут "distance=1 dst-address=192.168.10.0/24 gateway=192.168.0.100"

Можете объяснить каким чудом пакеты будут проходить маскардинг по правилу "chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1"? 

 

В 10.07.2019 в 15:42, pingz сказал:

а вы не пробовали по старинке все прописывать? ip--->routes 

Маршрут руками? А разве есть разница?

Пробовал прописать, ситуация осталась без изменений.

[pingz]

@Leninxxx нужно собирать стенд, двух роутера у тебя нет, на живой сети ты настраивать не будешь печалька. Я при пптп туннелях использую нат, либо когда роутинг использую исключения в провилах ната и фаервола