Jump to content
Калькуляторы

Два EoIP в один микротик...

Понадобилось пристегнуть в прошлом году один удаленный комп, так чтоб инет у него свой и в то же время он в локалке. Поставил там hEX, в центральном офисе на 2011 поднял L2TP Server, поднял тоннель, в тоннель засунул EoIP трубу с ID=0, концы трубы бросил в бриджи на тиках и все... Все заработало с полтычка. Заглушил ненужные  DHCP пакеты в L2 firewall и все отлично работает и по сей день.

 

На днях потребовалось присоединить еще один удаленный комп по той же схеме. Завел на 2011 еще один secrets, прокинул L2TP тоннель с еще одного тика, поднимаю EoIP c ID=1 - а оно не поднимается... Вот вообще никак, в логах тишина...

Куда смотреть-то? Все вроде идентично...

Share this post


Link to post
Share on other sites

@Ramsoft , смотрите firewall filter. Например, дефолтный конфиг дропает всё, что пришло с интерфейса не из списка "LAN". L2tp-интерфейс часто в этот список добавить забывают.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Поехал сегодня на место установки, снес конфиг старый, ибо ему уже года 2, поставил дефолтовый. Настроил все на дефолтовом конфиге, интерфейсы занес в списки, и т п.

Теперь у меня на удаленном тике EoIP поднимается, а на центре - нет :) Пол дела сделано... 

Маршруты вроде все нормальные, в firwall filter нет ничего, что было бы сделано только для одного туннеля и не было бы делано для второго. Все правила общие, кроме тех, что работают по спискам... Колдунство какое-то.

 

 

Share this post


Link to post
Share on other sites

@Ramsoft Версия RoS одинаковая? Есть у  EoIP прикольчик один - Keepalive. В одних версиях он есть, в других нет. По дефолту там какое то время.

Если на одном включено, на другом выключено - туннель не взлетает, либо быстро падает. Я обычно выключаю оба. Кто-то далает оба одинаковыми. 

 

У вас стесняюсь спросить, лицензия какого уровня? мало ли, мож слетела как то. у каких то лицензий лимит один туннель. 

 

@Ramsoft Пинги то между IP адресами ка которые туннель вешаете, нормально ходят? 

 

если у вас есть L2TP туннель взлетел, то зачем в него еще и EoIP? 

Share this post


Link to post
Share on other sites

@maxkst устройства разные по архитектуре, версии ROS на них отличаются чуть, но все последние. keepalive одинаковый. Лицензии на месте, пинги ходят. 

Последний вопрос странный - EoIP люди делают, чтоб получить один домен L2 и дать возможность этому поделию от Микрософта нормально взаимодействовать с другими такими же поделиями... Если бы винда не считала перманентно, что все, что за маской /24 - это чужое и с ним даже пинговаться нельзя - я бы и не заморачивался.

Видимо, придется вайршарком смотреть в L2TP c обоих концов и ломать голову, что не так ему...

Share this post


Link to post
Share on other sites
10 часов назад, Ramsoft сказал:

Если бы винда не считала перманентно, что все, что за маской /24 - это чужое и с ним даже пинговаться нельзя

Дык это и есть чужое )))  указывайте правильный гейтвей/маршрут для всех подсетей - и они будут пинговаться 

Share this post


Link to post
Share on other sites
4 hours ago, maxkst said:

Дык это и есть чужое )))  указывайте правильный гейтвей/маршрут для всех подсетей - и они будут пинговаться 

У меня нет никаких проблем с указанием правильных маршрутов, гейтвеев и пр. Откуда вы это взяли - непонятно...

Share this post


Link to post
Share on other sites
15 часов назад, Ramsoft сказал:

Если бы винда не считала перманентно, что все, что за маской /24 - это чужое и с ним даже пинговаться нельзя

Тогда почему пинговаться нельзя? прописал маршруты и вперед. С чего вдруг оно должно пинговаться без маршрутов?

Share this post


Link to post
Share on other sites
5 часов назад, maxkst сказал:

Тогда почему пинговаться нельзя? прописал маршруты и вперед. С чего вдруг оно должно пинговаться без маршрутов?

в винде еще и фаерволл ведь блочит icmp

Share this post


Link to post
Share on other sites
19 часов назад, fractal сказал:

в винде еще и фаерволл ведь блочит icmp

Я почти уверен, что это сарказм )))

Share this post


Link to post
Share on other sites

Как вариант пропишите маршрутами руками IP адреса до удаленных мест в L2TP туннель, на удаленных микротиках заведите такую же локалку /24 или какую надо, включите прокси-арп и все. В центре так же прокси арп, и все смогут передавать данные L2 поверх L3, все виндовые службы это нормально съедают.

Share this post


Link to post
Share on other sites

Столкнулся с такой же проблемой. Потребовалось связать 3 офиса.

На одном центральном тике созданы два EoIP, и на двух удаленных по одному.

В итоге. Туннель с ID=0 запускается и работает без проблем, туннель с ID отличным от 0 не запускается ни в какую.

Пришел к выводу что это баг от Mikrotik

Share this post


Link to post
Share on other sites

Нет никакого бага, вы с IP адресами не напутали?

EoIP бывает не работает при прямом прохождении через интернет, если его запаковать предварительно в PPP туннель то никаких проблем не возникает.

Share this post


Link to post
Share on other sites
1 hour ago, Saab95 said:

Нет никакого бага, вы с IP адресами не напутали?

EoIP бывает не работает при прямом прохождении через интернет, если его запаковать предварительно в PPP туннель то никаких проблем не возникает.

Не напутал.

Есть три микротика. На всех одинаковая версия прошивки.

Все три в разных местах, все три подключаются к одному оператору, авторизация по PPPoE

На центральном микротике два туннеля заведено

 

add local-address=x.x.x.x mac-address=xx:xx:xx:xx:xx:xx name=eoip-tunnel1 remote-address=y.y.y.y tunnel-id=0

add local-address=x.x.x.x mac-address=xo:xo:xo:xo:xo:xo name=eoip-tunnel2 remote-address=z.z.z.z tunnel-id=1

 

На двух других по одному соответственно

 

Первый

add local-address=y.y.y.y mac-address=yy:yy:yy:yy:yy:yy name=eoip-tunnel1 remote-address=x.x.x.x tunnel-id=0

 

Второй 

add local-address=z.z.z.z mac-address=zz:zz:zz:zz:zz:zz name=eoip-tunnel2 remote-address=x.x.x.x tunnel-id=1

 

В качестве remote-address используются внешние статические ip адреса PPPoE интерфейсов

 

Туннель с ID=0 запускается сразу, с ID=1 ни в какую

Меняю ID на туннелях, начинает работать другой, но только с ID=0

 

Несколько раз меняя ID удалось запустить оба, НО!!!! Тот который с ID =1 пропускает только пакеты ping, никак другие сервисы не работают

На ID=0 работает все без проблем.

Меняю ID местами, начинают работать все сервисы, которые с ID=1 не работали

 

В итоге работает полностью только туннель с ID=0, с ID=1, 2, 3 и так далее проходят исключительно ping и больше ничего

 

 

Еще раз, везде авторизация PPPoE, везде одинаковые MTU, оператор один и тот же, все авторизации в интернет в пределах одного BRAS

 

Прошивка на тиках 6.47.7

 

Это не баг, а фитча?

 

Edited by prodigy

Share this post


Link to post
Share on other sites

локал адрес указывать не надо.

Проверяли работу канала как?

Создаете EoIP туннель, создаете бридж. В бридж с каждой стороны добавляете только интерфейс туннеля, вешаете на него уникальные IP адреса, запускаете пинг - проходит? Запускаете тест скорости - проходит?

 

Как вариант, создайте поверх PPPoE туннель SSTP и поднимите туннель поверх него - будет работать?

Бывает так, что оператор вмешивается в передачу данных, или специально блокирует пакеты, что бы не использовали эти каналы для передачи данных, а только интернет.

Share this post


Link to post
Share on other sites
1 hour ago, Saab95 said:

локал адрес указывать не надо

локальный адрес указывать не обязательно, но желательно, что бы EoIP знал с какого ip устанавливать соединение с другой стороной, тем более если в конфигурации несколько внешних ip

в моей конфигурации один внешний ip, поэтому не обязательно указывать (в случае с PPPtP этот параметр будет обязателен)

1 hour ago, Saab95 said:

Проверяли работу канала как?

Создаете EoIP туннель, создаете бридж. В бридж с каждой стороны добавляете только интерфейс туннеля, вешаете на него уникальные IP адреса, запускаете пинг - проходит? Запускаете тест скорости - проходит?

естественно что на каждом тике создан бридж, в которой входит интерфейс EoIP и физический lan интерфейс тика. ip адрес вешать на этот бридж не обязательно, тем не менее для тестирования я присваивал адреса бриджам

 

1 hour ago, Saab95 said:

Бывает так, что оператор вмешивается в передачу данных, или специально блокирует пакеты, что бы не использовали эти каналы для передачи данных, а только интернет.

вы не совсем внимательно читали, у меня запускается в данной конфигурации, с PPPoE авторизацией исключительно туннель с ID=0, любой из туннелей с любой уделённой точкой, но только если ID  я ставлю 0

другие ID запускаются (1,2,3,4..57...888 и так далее) но через эти туннели ходят только icmp, все остальное не проходит. все пингуется, но ни один сервис не отвечает.

Стоит любому из созданных мной тунней с ID=XXXX поставить 0 он начинает работать.

 

В итоге поставил 6 микротиков что бы реализовать 3 туннеля. На основной стороне 3 штуки рядом и на троих удаленных точках по 1 штуке.

И на каждой паре поднимается туннель с ID=0 и все работает

 

Вот такая ерунда

 

Через PPPtP не пробовал создавать туннель, можно попробовать на основном тике поднять PPtP сервер и 3 клиента будут коннектиться к нему и поверх ip адресов PPPtP тунеля поднять EoIP

И присвоить туннелям разные ID

 

Если это заработает, то это значит что у тика проверены не все возможные конфигурации 

Edited by prodigy

Share this post


Link to post
Share on other sites
29 минут назад, prodigy сказал:

локальный адрес указывать не обязательно, но желательно, что бы EoIP знал с какого ip устанавливать соединение с другой стороной, тем более если в конфигурации несколько внешних ip

в моей конфигурации один внешний ip, поэтому не обязательно указывать (в случае с PPPtP этот параметр будет обязателен)

Локальный адрес имеет смысл при наличии нескольких IP на микротике, с которых возможна передача данных. Например когда используется OSPF, и на микротике бридж локальный, на котором весит несколько IP адресов, а этот микротик имеет связи с другими устройствами по разным каналам, и что бы при отказе любого соединение происходило именно от лица определенного IP адреса этого микротика, указывают этот параметр.

 

Во всех других случаях его указание может лишь создать проблемы, т.к. если он будет отправлять с этого адреса пакеты, а сам адрес не будет маршрутизироваться в нужную сторону, то и работать канал перестанет.

 

31 минуту назад, prodigy сказал:

вы не совсем внимательно читали, у меня запускается в данной конфигурации, с PPPoE авторизацией исключительно туннель с ID=0, любой из туннелей с любой уделённой точкой, но только если ID  я ставлю 0

другие ID запускаются (1,2,3,4..57...888 и так далее) но через эти туннели ходят только icmp, все остальное не проходит. все пингуется, но ни один сервис не отвечает.

Стоит любому из созданных мной тунней с ID=XXXX поставить 0 он начинает работать.

Некоторые провайдеры, такие как бывшее ребрендированное ухо, еще некоторые крупные, кто еще оказывает подключения через PPPoE, устанавливают у себя блокировки межабонентского трафика, и вполне возможно что у них именно она и срабатывает. Что бы исключить ее влияние нужно сделать туннель с шифрованием, а самое простое на микротике это SSTP (так же клиент - сервер и работает без сертификата). В этот трафик оборудование провайдера уже не сможет вмешиваться.

 

Мы прошивку 6.47.7 не используем, на 6.46.2 туннели нормально работают.

Share this post


Link to post
Share on other sites
1 hour ago, Saab95 said:

некоторые провайдеры, такие как бывшее ребрендированное ухо, еще некоторые крупные, кто еще оказывает подключения через PPPoE, устанавливают у себя блокировки межабонентского трафика, и вполне возможно что у них именно она и срабатывает.

это можно было бы предположить если бы туннель не запускался вообще

 

я пошел дальше, я отключил все туннели и использовал только два микротика, с одни единственным туннелем.

так вот при ID отличном от 0 , туннель встает в режим RS, но  кроме icmp ничего не ходит

с ID 0 все работает. 

 

поэтому никакие блокировки не причём

просто тупо глюк Router OS

Share this post


Link to post
Share on other sites
14 минут назад, jffulcrum сказал:

@prodigy Fastpath на туннелях включен?

Allow Fast path включен, он по умолчанию активируется при создании туннеля

 

Сегодня буду поднимать SSTP и пускать по нему туннели, посмотрим что получится с этими ID

Edited by prodigy
дополнение

Share this post


Link to post
Share on other sites
18 часов назад, prodigy сказал:

это можно было бы предположить если бы туннель не запускался вообще

 

я пошел дальше, я отключил все туннели и использовал только два микротика, с одни единственным туннелем.

так вот при ID отличном от 0 , туннель встает в режим RS, но  кроме icmp ничего не ходит

с ID 0 все работает. 

 

поэтому никакие блокировки не причём

просто тупо глюк Router OS

интересная проблема, еще не встречал чтобы на одной версии такое было, были проблемы когда пров лочил

Share this post


Link to post
Share on other sites
6 часов назад, jffulcrum сказал:

А если выключить?

не влияет

 

3 часа назад, fractal сказал:

интересная проблема, еще не встречал чтобы на одной версии такое было, были проблемы когда пров лочил

весь день сегодня потратил на выявление причины.

 

в итоге на дефолтной конфигурации запускается туннель только с ID=0 другие ID не работают

пробовал даже без интернета, просто тупо воткнул два тика первыми портами друг в друга, и настроил на этих интерфейсах EoIP

работает исключительно с ID=0

 

затем сбросил оба тика в ноль, без дефолтной конфигурации, пустые абсолютно

так же настроил между первыми портами EoIP

работает с любыми ID

 

где-то я что-то упускаю

Share this post


Link to post
Share on other sites

Вопрос решен.

 

Дефолтное правило defconf: drop all not coming from LAN не дает запустится EoIP туннелю с ID отличающимся от 0

 

С отключенным правилом работают любые ID  и любое количество туннелей

 

Вот такой глюк.

Edited by prodigy

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now