[svetogor82]

Доброе время суток

настраиваю mpls на 2  микротиках 

задача  сделать единую l2  сеть   пробросить vlan

между роутерами поднят l2tp  туннель

R01

/mpls interface
set [ find default=yes ] mpls-mtu=1526
/mpls ldp
set enabled=yes loop-detect=yes lsr-id=192.168.100.1 transport-address=192.168.100.1 use-explicit-null=yes
/mpls ldp interface
add interface=brige_vpls
add interface=l2tp
/interface vpls
add advertised-l2mtu=1526 disabled=no l2mtu=1526 mac-address=02:A3:D1:D8:E8:3D name=vpls2 remote-peer=192.168.100.3 vpls-id=1:2

/interface vlan
add interface=bridge_vlan name=vlan1 vlan-id=1
add comment=Sip interface=bridge_vlan name=vlan16 vlan-id=16

R02

Quote

/mpls interface
set [ find default=yes ] mpls-mtu=1526
/mpls ldp
set enabled=yes loop-detect=yes lsr-id=192.168.100.1 transport-address=192.168.100.1 use-explicit-null=yes
/mpls ldp interface
add interface=brige_vpls
add interface=l2tp

/interface vpls
add advertised-l2mtu=1526 disabled=no l2mtu=1526 mac-address=02:7F:D1:15:94:BB name=vpls2 remote-peer=192.168.100.1 vpls-id=1:2

Mpls  настроил, а как vlan прокинуть не понимfю подскажите

[TriKS]

Запихивать vpls в бриджи c обоих сторон

 

[svetogor82]

так и сделал   только  что то не работает

на R02  я же должен видеть forwarding-table  с R01

у меня  R01

/mpls forwarding-table> print

 1  L 1170                                                                                                                                  10.0.100.3/32                  l2tp                                                     192.168.100.3  
 2  L 1171                                                                                                                                  10.0.114.0/30                  VRRP-10.0.8.0                                            10.0.8.3       
 3  L 1172                                                                                                                                  10.0.101.3/32                  l2tp                                                     192.168.100.3  
 5  L 1174                                                                                                                                  10.0.17.0/24                   dm_rezerv                                                10.0.107.1     
 6  L 1176                                                                                                                                  10.0.101.0/30                  VRRP-10.0.8.0                                            10.0.8.24      
 7  L 1177                                                                                                                                  10.0.3.0/24                    dm_rezerv                                                10.0.107.1     
 8  L 1178                                                                                                                                  10.0.120.0/30                  dm_rezerv                                                10.0.107.1     
 9  L 1179                                                                                                                                  172.16.0.0/16                  dm_rezerv                                                10.0.107.1     
10  L 1180                                                                                                                                  10.0.6.31/32                   dm_rezerv                                                10.0.107.1 

на R02

Flags: H - hw-offload, L - ldp, V - vpls, T - traffic-eng 
 #    IN-LABEL                                                            OUT-LABELS                                                        DESTINATION                    INTERFACE                                                        NEXTHOP        
 0    expl-null                                                          
 1  L 49                                                                                                                                    10.0.101.1/32                  ostrovtsy_l2tp                                                   192.168.100.1  
 2  V 50                                                                                                                                    vpls2                         

 

[SUrov_IBM]

Svetogor82, здравствуйте.

 

У Вас RouterOS, случайно не в виртуальной среде располагается? Если в виртуальной, например под ESXi, не забывайте про Promiscuous mode для виртуального switch.

 

Если по каким-то причинам никак не взлетает VPLS, можно попробовать альтернативно использовать Ethernet over IP (EoIP) Tunneling, хотя бы для теста в Вашем случае.

[svetogor82]

нет  железки

EoIP  не подойдет по причине того что не всегда можно взять белый  адрес

 

[SUrov_IBM]

В 18.01.2022 в 12:59, svetogor82 сказал:

EoIP  не подойдет по причине того что не всегда можно взять белый  адрес

EoIP можно использовать внутри существующего, например L2TP тоннеля. Что позволит избежать проблемы отсутствия прямого IP адреса с одной из сторон.

[svetogor82]

не знал спасибо буду знать

надо будет по тестировать 

 

[jffulcrum]

В 18.01.2022 в 14:14, SUrov_IBM сказал:

EoIP можно использовать внутри существующего, например L2TP тоннеля. Что позволит избежать проблемы отсутствия прямого IP адреса с одной из сторон.

Но c MTU проблемы практически гарантированы. 

[SUrov_IBM]

Jffulcrum, здравствуйте.

 

В 18.01.2022 в 14:37, jffulcrum сказал:

Но c MTU проблемы практически гарантированы.

MTU для EoIP можно/нужно подстроить в ручную. Ведь в принципе, при любой инкапсуляции происходит фрагментация, просто иногда этому механизму приходится помочь руками. ;)

[jffulcrum]

Ну если туннель в туннеле в туннеле, тут только руками считать минимум и ставить жёстко на мостах, никакая автоматика не уладит.

[SUrov_IBM]

В 18.01.2022 в 14:52, jffulcrum сказал:

Ну если туннель в туннеле в туннеле, тут только руками считать

Если я не ошибаюсь, ведь VPLS тоже строиться через туннель?

 

По крайней мере, у автора:

В 18.01.2022 в 12:03, svetogor82 сказал:

между роутерами поднят l2tp  туннель

 

Я могу ошибаться, просто мне казалось, если используется однородно-вендорное оборудование MIKROTIK и стоит задача соединить только две точки по L2, костылить VPLS/MPLS как-то уж очень круто и громоздко. ;)

[zavndw]

можно обойтись и BCP

[Negator]

В основном все проблемы VPLS в MTU

 

VPLS поднялся?

 

 

Сделайте сначала EOIP поверх L2TP.

При этом на самом туннеле выставите вручную MTU. Пакеты будут фрагментироваться, но собирать будет все микротик самостоятельно.

Да, это криво, может жрать CPU и выдавать джиттер на больших пакетах, но работает.

Либо подстраивать TCP MSS

 

Плюсы VPLS в данном случае только чуть меньшая загрузка процессора при обработке пакетов. Если у вас каналы не несколько сотен мегабит - разницу вы не увидите.

[svetogor82]

по пробовал eoip

что то тоже не завёлся

что то я не так делаю

R01

/interface eoip
add allow-fast-path=no local-address=192.168.100.1 mac-address=02:A1:9F:E3:EF:07 mtu=1300 name=eoip-tunnel1 remote-address=192.168.100.3 tunnel-id=1

туннель работает

 print 
Flags: X - disabled, R - running 
 0  R name="eoip-tunnel1" mtu=1300 actual-mtu=1300 l2mtu=65535 mac-address=02:A1:9F:E3:EF:07 arp=enabled arp-timeout=auto loop-protect=default loop-protect-status=off loop-protect-send-interval=5s loop-protect-disable-time=5m 
      local-address=192.168.100.1 remote-address=192.168.100.3 tunnel-id=1 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no allow-fast-path=no 

в бридж на обоих устройствах  туннель добавлен

/interface bridge port
add bridge=bridge1 interface=eoip-tunnel1

 

на R02

тоже самое в настройках

завожу  vlan  на проверку

/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan12 vlan-id=12

/ip dhcp-client> print
 1   vlan12         no           no                searching...

и не получаю  ip

[bg80211]

Узлы пингуют друг дргуа (192.168.100.1-2 ?), на EOIP какой стоит статус Running/Tunnel ID совпадает  ?. 

Изменено 18 января, 2022 пользователем bg80211

[SUrov_IBM]

В 18.01.2022 в 18:27, svetogor82 сказал:

туннель работает

Пожалуйста, точно проверьте работу L2TP туннеля:

 

C R01 (IP 192.168.100.1) Ping до IP 192.168.100.3 от source 192.168.100.1 – проходит?

C R02 (IP 192.168.100.3) Ping до IP 192.168.100.1 от source 192.168.100.3 – проходит?

 

Если L2TP тоннель работает корректно, назначьте IP адреса произвольной сети X.X.X.X/30 на концы EoIP тоннеля, не соединяя его с BRIDGE и уже проверьте прохождение Ping через  EoIP тоннель.

 

Также в обе стороны, между конами EoIP используя source назначенной X.X.X.X/30 сети.

[Saab95]

В 18.01.2022 в 17:31, Negator сказал:

Плюсы VPLS в данном случае только чуть меньшая загрузка процессора при обработке пакетов. Если у вас каналы не несколько сотен мегабит - разницу вы не увидите.

Плюсы VPLS в том, что соединив маршрутизаторы своими каналами можно гонять L2 трафик. Через чужие каналы это делать категорически не рекомендуется.

 

В 18.01.2022 в 17:31, Negator сказал:

При этом на самом туннеле выставите вручную MTU. Пакеты будут фрагментироваться, но собирать будет все микротик самостоятельно.

Микротик умеет на туннеле уже фрагментировать пакеты. То есть можно выставить МТУ 1500 на самом туннеле и по туннелю при пинге с флагом запрещающим фрагментацию эти пакеты 1500 байт пройдут. Только не должно быть фрагментации пакетов самого туннеля на публичных сетях, иначе пойдут потери.

 

В 18.01.2022 в 16:03, zavndw сказал:

можно обойтись и BCP

Туннель должен передавать IP трафик.

Остальной трафик должен передавать другой туннель.

 

В 18.01.2022 в 14:43, SUrov_IBM сказал:

MTU для EoIP можно/нужно подстроить в ручную. Ведь в принципе, при любой инкапсуляции происходит фрагментация, просто иногда этому механизму приходится помочь руками. ;)

При создании туннеля EoIP микротик МТУ не проставляет, нужно указать вручную 1500 байт.

 

В 18.01.2022 в 14:37, jffulcrum сказал:

Но c MTU проблемы практически гарантированы. 

Поставьте МТУ 1300 байт, проблем не будет.

 

В 18.01.2022 в 14:14, SUrov_IBM сказал:

EoIP можно использовать внутри существующего, например L2TP тоннеля. Что позволит избежать проблемы отсутствия прямого IP адреса с одной из сторон.

При построении сети нужно у себя в центре иметь сервер доступа через интернет, к нему подключаются все выносные микротики через L2TP туннель. Дальше все работает по серым адресам. Можно заблокировать доступ в админку по всем адресам, кроме своих серых, это позволит обезопасить микротик от взлома и избавиться от кучи не нужных правил.

[Negator]

В 18.01.2022 в 20:12, Saab95 сказал:

Плюсы VPLS в том, что соединив маршрутизаторы своими каналами можно гонять L2 трафик. Через чужие каналы это делать категорически не рекомендуется.

 

А где речь шла о чужих каналах?

 

В 18.01.2022 в 20:12, Saab95 сказал:

Микротик умеет на туннеле уже фрагментировать пакеты. То есть можно выставить МТУ 1500 на самом туннеле и по туннелю при пинге с флагом запрещающим фрагментацию эти пакеты 1500 байт пройдут. Только не должно быть фрагментации пакетов самого туннеля на публичных сетях, иначе пойдут потери.

 

Да, как то так.

 

 

В 18.01.2022 в 20:12, Saab95 сказал:

Поставьте МТУ 1300 байт, проблем не будет.

 

Будут. Конечное устройство ничего не знает о вашем MTU 1300.
Нужно либо указать это самому устройству (в винде лезть в реестр), либо настраивать TCP MSS

Оба варианта не очень.

 

 

 

[svetogor82]

On 1/18/2022 at 6:58 PM, SUrov_IBM said:

Пожалуйста, точно проверьте работу L2TP туннеля:

 

C R01 (IP 192.168.100.1) Ping до IP 192.168.100.3 от source 192.168.100.1 – проходит?

C R02 (IP 192.168.100.3) Ping до IP 192.168.100.1 от source 192.168.100.3 – проходит?

 

Если L2TP тоннель работает корректно, назначьте IP адреса произвольной сети X.X.X.X/30 на концы EoIP тоннеля, не соединяя его с BRIDGE и уже проверьте прохождение Ping через  EoIP тоннель.

 

Также в обе стороны, между конами EoIP используя source назначенной X.X.X.X/30 сети.

назначал  на EoIP  X.X.X.X/30 сети  ping между ними ходит

[SUrov_IBM]

Svetogor82,

 

В 19.01.2022 в 09:18, svetogor82 сказал:

назначал  на EoIP  X.X.X.X/30 сети  ping между ними ходит

Значит, работает EoIP тоннель, скорей всего у Вас и VPLS тоже работало. Проблема наблюдается на уровне BRIDGE.

 

Для теста, снимите X.X.X.X/30 с концов EoIP тоннеля, на R01 соберите BRIDGE в который будет входить только EoIP тоннель, также на R02 соберите BRIDGE в который будет входить только EoIP тоннель. Далее назначьте тестовую сеть X.X.X.X/30 на концы BRIDGE’эй на R01 и К02, по аналогии с EoIP. И повторите тест. Станет понятно, происходит ли связка BRIDGE и EoIP.

[svetogor82]

VPLS отключён  проверил несколько  раз

с  BRIDGE  в котором EoIP  туннель  они друг друга видя

 

если повесить ip  на рабочий BRIDGE и включить в него EoIP тунель  то тоже они друг друга видят

[SUrov_IBM]

В 19.01.2022 в 11:17, svetogor82 сказал:

VPLS отключён  проверил несколько  раз

 

В 19.01.2022 в 10:58, SUrov_IBM сказал:

скорей всего у Вас и VPLS тоже работало.

Я имел ввиду, что когда Вы строили первую схему на VPLS (до EoIP), скорей всего тоже всё работало.

 

Проблема кроется, скорей всего в соединении VLAN и BRIDGE. Снимите X.X.X.X/30 с BRIDGE’эй на R01 и К02. Добавьте VLAN на R01 и К02 в BRIDGE. Для теста назначьте X.X.X.X/30 на интерфейсы VLAN в R01 и К02 соответственно, чтобы проверить работу связки VLAN+BRIDGE+EoIP на стороне роутеров. Предположу, что в полной схеме (которая изначально планировалась), у Вас не корректно обрабатывается VLAN tag на маршрутизаторе, до попадания в BRIDGE.

[svetogor82]

R01

/interface eoip
add local-address=192.168.100.1 mac-address=02:A1:9F:E3:EF:07 mtu=1300 name=eoip-tunnel1 remote-address=192.168.100.3 tunnel-id=1
/interface bridge
/interface bridge port
add bridge=eoip_brige interface=eoip-tunnel1
/interface vlan
add interface=eoip_brige name=vlan23 vlan-id=23
/ip address
add address=192.168.223.1/30 interface=bridge_vlan network=192.168.223.0
add address=192.168.224.1/24 interface=vlan23 network=192.168.224.0

на R02 такие же настройки
при этом бриджи пингуются  и vlan23  тоже пингуется
а если eoip-tunnel1  перевесить  на рабочий bridge то  vlan  не отвечают

 

VLAN tag как может не корректно отрабатываться ?

[SUrov_IBM]

В 19.01.2022 в 11:54, svetogor82 сказал:

VLAN tag как может не корректно отрабатываться ?

Простите, я скорей всего косноязычно выразился, имел в виду, что на MIKROTIK попадает некий VLANXX, с него "сниматься" tag XX,  аналогично тому, когда VLAN попадая на роутер, снимается tag для sub-interface, которому уже назначается IP.

Мне кажется, у Вас VLAN пытается вместе с tag XX проследовать в BRIDGE, а далее в EoIP. Я имел ввиду схему =>[MIKROTIK {VLANXX} (UNTAG XX)->BRIDGE+EoIP]=>tun Т.е. для каждого VLAN собирается VLAN+BRIDGE+EoIP.

[Saab95]

В 18.01.2022 в 21:47, Negator сказал:

А где речь шла о чужих каналах?

В первом сообщение про соединение по l2tp между роутерами.

 

В 18.01.2022 в 21:47, Negator сказал:

Будут. Конечное устройство ничего не знает о вашем MTU 1300.
Нужно либо указать это самому устройству (в винде лезть в реестр), либо настраивать TCP MSS

Это между роутерами, в настройках EoIP можно указать реальный МТУ канала, пакетами максимального размера он и будет оперировать, а уже в самом туннеле данные пойдут без фрагментации.