[phnx]

Задача: создать отказоустойчивое сбалансированное соединение между двумя удаленными офисами. Связь между офисами через VLAN. Сети должны видеть друг друга 1:1 без NAT.

 

Тест-лаб.

 

2 маршрутизатора: 1 ПК (RouterOS, 3 Intel gigabit ethernet) и MikroTik(RB750)

 

Центральный офис:

Сеть 10.1.32.0/24

 

Маршрутизатор RouterOS:

lan1 10.1.32.1

wan1 - без ip получает два тегированных vlan-а и объединяет их на интерфейсе bonding1 (balance-rr, mii) c ip 10.10.10.1/30

 

Филиал:

Сеть 10.1.40.0/24

 

Маршрутизатор RB750

lan1 10.1.40.1

wan1 - без ip получает два тегированных vlan-а и объединяет их на интерфейсе bonding1 (balance-rr, mii) c ip 10.10.10.2/30

 

Bonding работает нормально, определяет падение каналов. Через bonding видны MAC-адреса противоположной стороны.

 

Уточню, что пока имею мало опыта работы с iptables.

 

Проблема: если рассматривать данную сеть от лица филиального RB750, то пингуется bonding интерфейс противоположной стороны, lan1 противоположной стороны, но дальше перехода lan1<>локальная сеть пинги не идут. Пропинговать сервера в сети ЦО не получается. Маршрутизатор в ЦО может пинговать все хосты, которые не видит филиальный маршрутизатор. Проблема зеркальна для маршрутизатора в ЦО при попытке достучаться до ресурсов филиальной сети.

 

Маршруты в норме. По RIP маршрутизаторы нормально обменялись данными.

 

Пробовал: SNAT,DNAT-тить - не получилось. Подымал bridge между bonding и lan - тоже ничего не вышло.

 

Во вложении схема по которой работаю.

 

Понимаю, что проблема элементарная, но 3 дня безуспешной войны с микротиками заставили искать помощи здесь. Подскажите, где проблема?

Изменено 5 декабря, 2010 пользователем phnx

[marikoda]

На компах в филиалах шлюзом указаны ваши роутеры или что-то другое?

В общем, traceroute с рабочих станций должен локализовать проблему.

Всякие NAT/iptables вроде как вам не нужны совсем.

[phnx]

Я тестирую схему с самих маршрутизаторов.

 

Во вложении трасировки до 10.1.40.100 (ПК в филиале) и маршрутизатора 10.1.40.1 (RB750)

до него трафик идет по схеме: RouterOS <> bonding1[10.10.10.1/30]<>bonding[10.10.10.2/30]<>lan1[10.1.40.1/24]

 

В правилах и NAT правилах все пусто, нет запрещающих правил.

 

На компах в филиалах шлюзом указаны ваши роутеры или что-то другое?

Невнимательно прочитал. Шлюз указан. У ПК 10.1.40.100 2 сетевки. на первой уже есть шлюз.

 

Поправлю схему, проверю и отпишусь что получилось. =)

Изменено 5 декабря, 2010 пользователем phnx

[phnx]

Поправлю схему, проверю и отпишусь что получилось. =)

Не помогло. :/

Получаю трассировку аналогичную http://forum.nag.ru/forum/index.php?act=at...ost&id=5445

[phnx]

Получилось заставить работать схему через snat lan masquarade с обоих концов, т.е. NAT Passthrough

Изменено 6 декабря, 2010 пользователем phnx

[gserg]

Получилось заставить работать схему через snat lan masquarade с обоих концов, т.е. NAT Passthrough

А Вы попробуйте просто маршруты прописать и шлюзы правильно указать. Для сети 10.1.32.0/24 шлюз укажите 10. 1.32.1, на компе с routerOS пропишите маршрут в сеть 10.1.40.0/24 через10.10.10.2. Соответственно в сети 10.1.40.0/24 - шлюз 10.1.40.1 на рб750 маршрут в сеть 10.1.32.0/24 через 10.10.10.1. Все должно и без нат работать. Ну а на компах, где есть две сетевухи и уже прописан шлюз, никто не мешает постоянные маршруты прописать.

 

[marikoda]

Я тестирую схему с самих маршрутизаторов.

Это не избавляет от необходимости прописать маршруты на клиентских компах

[phnx]

Само собой. Только проще все раздать по dhcp. Сам роутер общается по RIP с соседним. Так что все кашерно :]

 

Схема полностью работоспособна. А сейчас пилю напильником фаер и QoS.

 

Тема в принципе закрыта. Если кому нужна помощь в агрегации разнородных интерфейсов могу подсказать. Ибо за 5 дней я уже во сне вижу МТ )))