svetogor82 Posted January 18, 2022 · Report post Доброе время суток настраиваю mpls на 2 микротиках задача сделать единую l2 сеть пробросить vlan между роутерами поднят l2tp туннель R01 /mpls interface set [ find default=yes ] mpls-mtu=1526 /mpls ldp set enabled=yes loop-detect=yes lsr-id=192.168.100.1 transport-address=192.168.100.1 use-explicit-null=yes /mpls ldp interface add interface=brige_vpls add interface=l2tp /interface vpls add advertised-l2mtu=1526 disabled=no l2mtu=1526 mac-address=02:A3:D1:D8:E8:3D name=vpls2 remote-peer=192.168.100.3 vpls-id=1:2 /interface vlan add interface=bridge_vlan name=vlan1 vlan-id=1 add comment=Sip interface=bridge_vlan name=vlan16 vlan-id=16 R02 Quote /mpls interface set [ find default=yes ] mpls-mtu=1526 /mpls ldp set enabled=yes loop-detect=yes lsr-id=192.168.100.1 transport-address=192.168.100.1 use-explicit-null=yes /mpls ldp interface add interface=brige_vpls add interface=l2tp /interface vpls add advertised-l2mtu=1526 disabled=no l2mtu=1526 mac-address=02:7F:D1:15:94:BB name=vpls2 remote-peer=192.168.100.1 vpls-id=1:2 Mpls настроил, а как vlan прокинуть не понимfю подскажите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TriKS Posted January 18, 2022 · Report post Запихивать vpls в бриджи c обоих сторон Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 18, 2022 · Report post так и сделал только что то не работает на R02 я же должен видеть forwarding-table с R01 у меня R01 /mpls forwarding-table> print 1 L 1170 10.0.100.3/32 l2tp 192.168.100.3 2 L 1171 10.0.114.0/30 VRRP-10.0.8.0 10.0.8.3 3 L 1172 10.0.101.3/32 l2tp 192.168.100.3 5 L 1174 10.0.17.0/24 dm_rezerv 10.0.107.1 6 L 1176 10.0.101.0/30 VRRP-10.0.8.0 10.0.8.24 7 L 1177 10.0.3.0/24 dm_rezerv 10.0.107.1 8 L 1178 10.0.120.0/30 dm_rezerv 10.0.107.1 9 L 1179 172.16.0.0/16 dm_rezerv 10.0.107.1 10 L 1180 10.0.6.31/32 dm_rezerv 10.0.107.1 на R02 Flags: H - hw-offload, L - ldp, V - vpls, T - traffic-eng # IN-LABEL OUT-LABELS DESTINATION INTERFACE NEXTHOP 0 expl-null 1 L 49 10.0.101.1/32 ostrovtsy_l2tp 192.168.100.1 2 V 50 vpls2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 18, 2022 · Report post Svetogor82, здравствуйте. У Вас RouterOS, случайно не в виртуальной среде располагается? Если в виртуальной, например под ESXi, не забывайте про Promiscuous mode для виртуального switch. Если по каким-то причинам никак не взлетает VPLS, можно попробовать альтернативно использовать Ethernet over IP (EoIP) Tunneling, хотя бы для теста в Вашем случае. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 18, 2022 · Report post нет железки EoIP не подойдет по причине того что не всегда можно взять белый адрес Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 18, 2022 · Report post В 18.01.2022 в 12:59, svetogor82 сказал: EoIP не подойдет по причине того что не всегда можно взять белый адрес EoIP можно использовать внутри существующего, например L2TP тоннеля. Что позволит избежать проблемы отсутствия прямого IP адреса с одной из сторон. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 18, 2022 · Report post не знал спасибо буду знать надо будет по тестировать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted January 18, 2022 · Report post В 18.01.2022 в 14:14, SUrov_IBM сказал: EoIP можно использовать внутри существующего, например L2TP тоннеля. Что позволит избежать проблемы отсутствия прямого IP адреса с одной из сторон. Но c MTU проблемы практически гарантированы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 18, 2022 · Report post Jffulcrum, здравствуйте. В 18.01.2022 в 14:37, jffulcrum сказал: Но c MTU проблемы практически гарантированы. MTU для EoIP можно/нужно подстроить в ручную. Ведь в принципе, при любой инкапсуляции происходит фрагментация, просто иногда этому механизму приходится помочь руками. ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted January 18, 2022 · Report post Ну если туннель в туннеле в туннеле, тут только руками считать минимум и ставить жёстко на мостах, никакая автоматика не уладит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 18, 2022 · Report post В 18.01.2022 в 14:52, jffulcrum сказал: Ну если туннель в туннеле в туннеле, тут только руками считать Если я не ошибаюсь, ведь VPLS тоже строиться через туннель? По крайней мере, у автора: В 18.01.2022 в 12:03, svetogor82 сказал: между роутерами поднят l2tp туннель Я могу ошибаться, просто мне казалось, если используется однородно-вендорное оборудование MIKROTIK и стоит задача соединить только две точки по L2, костылить VPLS/MPLS как-то уж очень круто и громоздко. ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted January 18, 2022 · Report post можно обойтись и BCP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted January 18, 2022 · Report post В основном все проблемы VPLS в MTU VPLS поднялся? Сделайте сначала EOIP поверх L2TP. При этом на самом туннеле выставите вручную MTU. Пакеты будут фрагментироваться, но собирать будет все микротик самостоятельно. Да, это криво, может жрать CPU и выдавать джиттер на больших пакетах, но работает. Либо подстраивать TCP MSS Плюсы VPLS в данном случае только чуть меньшая загрузка процессора при обработке пакетов. Если у вас каналы не несколько сотен мегабит - разницу вы не увидите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 18, 2022 · Report post по пробовал eoip что то тоже не завёлся что то я не так делаю R01 /interface eoip add allow-fast-path=no local-address=192.168.100.1 mac-address=02:A1:9F:E3:EF:07 mtu=1300 name=eoip-tunnel1 remote-address=192.168.100.3 tunnel-id=1 туннель работает print Flags: X - disabled, R - running 0 R name="eoip-tunnel1" mtu=1300 actual-mtu=1300 l2mtu=65535 mac-address=02:A1:9F:E3:EF:07 arp=enabled arp-timeout=auto loop-protect=default loop-protect-status=off loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=192.168.100.1 remote-address=192.168.100.3 tunnel-id=1 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no allow-fast-path=no в бридж на обоих устройствах туннель добавлен /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 на R02 тоже самое в настройках завожу vlan на проверку /interface vlan add interface=bridge1 name=vlan1 vlan-id=1 add interface=bridge1 name=vlan12 vlan-id=12 /ip dhcp-client> print 1 vlan12 no no searching... и не получаю ip Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bg80211 Posted January 18, 2022 (edited) · Report post Узлы пингуют друг дргуа (192.168.100.1-2 ?), на EOIP какой стоит статус Running/Tunnel ID совпадает ?. Edited January 18, 2022 by bg80211 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 18, 2022 · Report post В 18.01.2022 в 18:27, svetogor82 сказал: туннель работает Пожалуйста, точно проверьте работу L2TP туннеля: C R01 (IP 192.168.100.1) Ping до IP 192.168.100.3 от source 192.168.100.1 – проходит? C R02 (IP 192.168.100.3) Ping до IP 192.168.100.1 от source 192.168.100.3 – проходит? Если L2TP тоннель работает корректно, назначьте IP адреса произвольной сети X.X.X.X/30 на концы EoIP тоннеля, не соединяя его с BRIDGE и уже проверьте прохождение Ping через EoIP тоннель. Также в обе стороны, между конами EoIP используя source назначенной X.X.X.X/30 сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 18, 2022 · Report post В 18.01.2022 в 17:31, Negator сказал: Плюсы VPLS в данном случае только чуть меньшая загрузка процессора при обработке пакетов. Если у вас каналы не несколько сотен мегабит - разницу вы не увидите. Плюсы VPLS в том, что соединив маршрутизаторы своими каналами можно гонять L2 трафик. Через чужие каналы это делать категорически не рекомендуется. В 18.01.2022 в 17:31, Negator сказал: При этом на самом туннеле выставите вручную MTU. Пакеты будут фрагментироваться, но собирать будет все микротик самостоятельно. Микротик умеет на туннеле уже фрагментировать пакеты. То есть можно выставить МТУ 1500 на самом туннеле и по туннелю при пинге с флагом запрещающим фрагментацию эти пакеты 1500 байт пройдут. Только не должно быть фрагментации пакетов самого туннеля на публичных сетях, иначе пойдут потери. В 18.01.2022 в 16:03, zavndw сказал: можно обойтись и BCP Туннель должен передавать IP трафик. Остальной трафик должен передавать другой туннель. В 18.01.2022 в 14:43, SUrov_IBM сказал: MTU для EoIP можно/нужно подстроить в ручную. Ведь в принципе, при любой инкапсуляции происходит фрагментация, просто иногда этому механизму приходится помочь руками. ;) При создании туннеля EoIP микротик МТУ не проставляет, нужно указать вручную 1500 байт. В 18.01.2022 в 14:37, jffulcrum сказал: Но c MTU проблемы практически гарантированы. Поставьте МТУ 1300 байт, проблем не будет. В 18.01.2022 в 14:14, SUrov_IBM сказал: EoIP можно использовать внутри существующего, например L2TP тоннеля. Что позволит избежать проблемы отсутствия прямого IP адреса с одной из сторон. При построении сети нужно у себя в центре иметь сервер доступа через интернет, к нему подключаются все выносные микротики через L2TP туннель. Дальше все работает по серым адресам. Можно заблокировать доступ в админку по всем адресам, кроме своих серых, это позволит обезопасить микротик от взлома и избавиться от кучи не нужных правил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted January 18, 2022 · Report post В 18.01.2022 в 20:12, Saab95 сказал: Плюсы VPLS в том, что соединив маршрутизаторы своими каналами можно гонять L2 трафик. Через чужие каналы это делать категорически не рекомендуется. А где речь шла о чужих каналах? В 18.01.2022 в 20:12, Saab95 сказал: Микротик умеет на туннеле уже фрагментировать пакеты. То есть можно выставить МТУ 1500 на самом туннеле и по туннелю при пинге с флагом запрещающим фрагментацию эти пакеты 1500 байт пройдут. Только не должно быть фрагментации пакетов самого туннеля на публичных сетях, иначе пойдут потери. Да, как то так. В 18.01.2022 в 20:12, Saab95 сказал: Поставьте МТУ 1300 байт, проблем не будет. Будут. Конечное устройство ничего не знает о вашем MTU 1300. Нужно либо указать это самому устройству (в винде лезть в реестр), либо настраивать TCP MSS Оба варианта не очень. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 19, 2022 · Report post On 1/18/2022 at 6:58 PM, SUrov_IBM said: Пожалуйста, точно проверьте работу L2TP туннеля: C R01 (IP 192.168.100.1) Ping до IP 192.168.100.3 от source 192.168.100.1 – проходит? C R02 (IP 192.168.100.3) Ping до IP 192.168.100.1 от source 192.168.100.3 – проходит? Если L2TP тоннель работает корректно, назначьте IP адреса произвольной сети X.X.X.X/30 на концы EoIP тоннеля, не соединяя его с BRIDGE и уже проверьте прохождение Ping через EoIP тоннель. Также в обе стороны, между конами EoIP используя source назначенной X.X.X.X/30 сети. назначал на EoIP X.X.X.X/30 сети ping между ними ходит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 19, 2022 · Report post Svetogor82, В 19.01.2022 в 09:18, svetogor82 сказал: назначал на EoIP X.X.X.X/30 сети ping между ними ходит Значит, работает EoIP тоннель, скорей всего у Вас и VPLS тоже работало. Проблема наблюдается на уровне BRIDGE. Для теста, снимите X.X.X.X/30 с концов EoIP тоннеля, на R01 соберите BRIDGE в который будет входить только EoIP тоннель, также на R02 соберите BRIDGE в который будет входить только EoIP тоннель. Далее назначьте тестовую сеть X.X.X.X/30 на концы BRIDGE’эй на R01 и К02, по аналогии с EoIP. И повторите тест. Станет понятно, происходит ли связка BRIDGE и EoIP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 19, 2022 · Report post VPLS отключён проверил несколько раз с BRIDGE в котором EoIP туннель они друг друга видя если повесить ip на рабочий BRIDGE и включить в него EoIP тунель то тоже они друг друга видят Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 19, 2022 · Report post В 19.01.2022 в 11:17, svetogor82 сказал: VPLS отключён проверил несколько раз В 19.01.2022 в 10:58, SUrov_IBM сказал: скорей всего у Вас и VPLS тоже работало. Я имел ввиду, что когда Вы строили первую схему на VPLS (до EoIP), скорей всего тоже всё работало. Проблема кроется, скорей всего в соединении VLAN и BRIDGE. Снимите X.X.X.X/30 с BRIDGE’эй на R01 и К02. Добавьте VLAN на R01 и К02 в BRIDGE. Для теста назначьте X.X.X.X/30 на интерфейсы VLAN в R01 и К02 соответственно, чтобы проверить работу связки VLAN+BRIDGE+EoIP на стороне роутеров. Предположу, что в полной схеме (которая изначально планировалась), у Вас не корректно обрабатывается VLAN tag на маршрутизаторе, до попадания в BRIDGE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svetogor82 Posted January 19, 2022 · Report post R01 /interface eoip add local-address=192.168.100.1 mac-address=02:A1:9F:E3:EF:07 mtu=1300 name=eoip-tunnel1 remote-address=192.168.100.3 tunnel-id=1 /interface bridge /interface bridge port add bridge=eoip_brige interface=eoip-tunnel1 /interface vlan add interface=eoip_brige name=vlan23 vlan-id=23 /ip address add address=192.168.223.1/30 interface=bridge_vlan network=192.168.223.0 add address=192.168.224.1/24 interface=vlan23 network=192.168.224.0 на R02 такие же настройки при этом бриджи пингуются и vlan23 тоже пингуется а если eoip-tunnel1 перевесить на рабочий bridge то vlan не отвечают VLAN tag как может не корректно отрабатываться ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 19, 2022 · Report post В 19.01.2022 в 11:54, svetogor82 сказал: VLAN tag как может не корректно отрабатываться ? Простите, я скорей всего косноязычно выразился, имел в виду, что на MIKROTIK попадает некий VLANXX, с него "сниматься" tag XX, аналогично тому, когда VLAN попадая на роутер, снимается tag для sub-interface, которому уже назначается IP. Мне кажется, у Вас VLAN пытается вместе с tag XX проследовать в BRIDGE, а далее в EoIP. Я имел ввиду схему =>[MIKROTIK {VLANXX} (UNTAG XX)->BRIDGE+EoIP]=>tun Т.е. для каждого VLAN собирается VLAN+BRIDGE+EoIP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 19, 2022 · Report post В 18.01.2022 в 21:47, Negator сказал: А где речь шла о чужих каналах? В первом сообщение про соединение по l2tp между роутерами. В 18.01.2022 в 21:47, Negator сказал: Будут. Конечное устройство ничего не знает о вашем MTU 1300. Нужно либо указать это самому устройству (в винде лезть в реестр), либо настраивать TCP MSS Это между роутерами, в настройках EoIP можно указать реальный МТУ канала, пакетами максимального размера он и будет оперировать, а уже в самом туннеле данные пойдут без фрагментации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...