[x-rayd]

Имеется 2 маршрутизатора микротик CCR1036, стоят в разных городах и оба доступны по интернету по белым IP адресам.
Необходимо на микротике CCR1036 под номером один весь интернет трафик пользователей, зерколировать на микротик CCR1036 под номером два.
Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель.

Как это можно реализовать? И возможно вообще?

[jffulcrum]

Туннель типа EOIP. Туннель собрать в bonding с физическим интерфейсом с типом broadcast. В этом режиме все порты передают один и тот же трафик. Туннель, разумеется, должен строиться с другого физического интерфейса, чем тот, что включается в бондинг. Если используются VLAN - можно не физический порт, а отдельный VLAN засунуть в бондинг. Ни порт, ни VLAN не должны быть членом моста (bridge).

 

Сразу предупреждаю - это НЕ рекомендуемое решение. Во-первых, MTU будет по самому узкому интерфейсу, то есть туннелю. И вообще возможны проблемы с MTU. Во-вторых, загрузка CPU сразу X2. .В третьих, при флапе туннеля или физического порта возможна ситуация "кровь, кишки, евроинтегрировало", когда мусор полетит в непредсказумых направлениях. С STP это все тоже несовместимо.

[x-rayd]

Не совсем понял как именно вы это имели в виду.
Можете пример для консоли скинуть?

[VolanD666]

В 18.02.2022 в 20:12, x-rayd сказал:

Имеется 2 маршрутизатора микротик CCR1036, стоят в разных городах и оба доступны по интернету по белым IP адресам.
Необходимо на микротике CCR1036 под номером один весь интернет трафик пользователей, зерколировать на микротик CCR1036 под номером два.
Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель.

Как это можно реализовать? И возможно вообще?

А чего добиться то хотите? Может в таком случае проще один микрот через другой в инте выпускать?

[x-rayd]

нужно зеркало трафика для тщательного анализа на второй точке

[YuryD]

Ничего, что трафик удвоится в обоих местах ?

[SUrov_IBM]

X-rayd, здравствуйте.

 

В 18.02.2022 в 20:12, x-rayd сказал:

Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель.

Как это можно реализовать? И возможно вообще?

 

Форумчанин Jffulcrum посоветовал технически осуществимое, через физическую «петлю» между интерфейсами маршрутизатора, решение, но правильно предупреждает – возможны негативные последствия и серьёзные.

 

Я так же хотел отзеркалировать IP трафик для телефонии, средствами CISCO 2811, по протоколу L2TPv3, чтобы принять и разобрать L2 со своей стороны на CISCO 1812. По сути, трафика было не много, но это привело к «выпадению» CISCO 2811 в глубокий ступор по CPU, схему пришлось разобрать.

 

Возможно, в Вашем случае MIKROTIK и прожуёт зеркальный трафик, пакуя в EoIP, но нет никаких гарантий, что MIKROTIK не «облунеет» от этого и что L2 будет корректно доставлен на Вашу сторону. Так же обратите внимание, что отправляемый по EoIP L2, будет фрагментироваться на входе в тоннель, что ещё добавит нагрузки на CPU.

 

Для себя я решил и добился того, что IP sniffer стал располагаться на удалённой стороне и когда требуется, я могу его использовать. Так, я не мучаю себя и удалённую сторону. Не зная Ваших особенностей, не могу советовать вариант расположить IP sniffer на удалённой стороне, поскольку скорей всего Вы не просто так планируете такую схему. Я просто поделился негативным опытом, схожим по реализации с Вашей задуманной схемой.

Edited February 19, 2022 by SUrov_IBM

[SUrov_IBM]

Единственное, что приходит в голову, если нет возможности поставить IP sniffer на удалённой стороне, это поставить например MikroTik hEX S, он маленький по габаритам и может питаться по PoE, зеркалировать L2 за счёт встроенного в него свитч-чипа, а EoIP тоннель расположить на CCR1036, заранее выделив под тоннель QoS пиритизацию на WAN интерфейсе, в максимально ожидаемое количество проходящего по тоннелю L2 трафика.

[jffulcrum]

В 19.02.2022 в 11:15, x-rayd сказал:

Можете пример для консоли скинуть?

/interface bonding add slaves=eoip-tunnel1,ether1 mode=broadcast

[SUrov_IBM]

Jffulcrum, здравствуйте.

 

В 19.02.2022 в 18:37, jffulcrum сказал:

В 19.02.2022 в 11:15, x-rayd сказал:

Можете пример для консоли скинуть?

/interface bonding add slaves=eoip-tunnel1,ether1 mode=broadcast

 

Ой…, «А чё, так можно было что ли?». Имеется в виду, что в MIKROTIK порт зеркалированного трафика (получателя трафика) не должен быть физическим и его не обязательно внешней Ethernet «петлёй» вводить обратно на маршрутизатор в порт, который будет bridge’ваться с EoIP tun и получится полноценное зеркалирование порта  источника? ;)

 

Правду говорят - Век живи, век учись!

[Saab95]

На микротике сниффер (Packet Sniffer) есть, надо настроить его на перенаправление портов на удаленный IP и будет вам зеркало.

 

Выбираете интерфейс и нужные классификаторы трафика, на вкладке Streaming указываете IP адрес второго устройства и пользуйтесь.

[x-rayd]

Saab95, да этот вариант тоже расматриваем, проблема нагрузка на CPU.
CCR1036 не загнется при 200 Мбит?

[Saab95]

Нет, эти операции он и на скорости 1Г делал, больше не требовалось.

[x-rayd]

А что думайте по поводу правила в Mangle (Sniff TZSP)?

[andrik2288]

Ребят,всем привет! Такая проблема, есть сервер с биллингом и микротик CCR2116 соединены гигабитным линком в 10 порт тика, в этом линке бегают пакеты радиус, необходимо зеркалить радиус трафик на сорм, делаю зеркало с 10 на 9 порт и вижу следующую картину- TX есть а RX нет! т.е. радиус ответы есть а запросов нет, если снифить на 10 порту есть и те и другие. Подскажите куда копать? 

[tcup]

@andrik2288 какой командой?

[jffulcrum]

Mirror в принципе зеркалит только ingress. MT не для СОРМ, ставьте промежуточный коммутатор с аппаратным mirror

[Saab95]

В 11.06.2025 в 12:01, andrik2288 сказал:

Подскажите куда копать?

В настройках бриджа, на вкладке port можно менять разные значения у того порта, куда нужно зеркалировать. И у других портов. Например отключить изучение мак адресов и т.п. Тогда в него просто будет литься весь трафик как в тупой свич.

[andrik2288]

Поставил в разрыв коммутатор, сделал зеркало на свободный порт, проверил tcpdump все льется как должно! Но есть одно но! Вставляю в порт микротика CRS317 , отключаю изучение мак адресов на порту прописываю необходимый vlan untag, счетчики на порту бегают, в этом влане tcpdump ничего не видит!