g3fox Опубликовано 13 февраля, 2014 Здравствуйте! Есть территориально разнесённые офисы. Между ними подняты GRE тоннели. Хочу запустить OSPF поверх GRE. В микротике интерфейс добавляется в процесс OSPF, но как passive. И, соответственно, ничего туда не шлёт. На linux\quagga у меня такая схема работала, но необходимо было менять пакетам TTL. Иначе OSPF заворачивался в GRE c TTL=1, и в сети оператора умирал на первом роутере. Тут же с интерфейса не улетает совсем ничего. Как заставить работать OSPF на GRE тоннелях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 13 февраля, 2014 Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 февраля, 2014 Я разобрался. Он не хочет работать если маска более 30 бит. с /32 и /31 не взлетело ... С 31 определяет интерфейс как ptp. Но не видит соседа. С 32 определяет интерфейс как passive. C 30 интерфейс - ptp, соседа видно. Хотя в примере используется маска /32. Придётся лепить /30 на все тоннели. Всем спасибо, всем счастья :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 февраля, 2014 Здравствуйте! Есть территориально разнесённые офисы. Между ними подняты GRE тоннели. Хочу запустить OSPF поверх GRE. В микротике интерфейс добавляется в процесс OSPF, но как passive. И, соответственно, ничего туда не шлёт. На linux\quagga у меня такая схема работала, но необходимо было менять пакетам TTL. Иначе OSPF заворачивался в GRE c TTL=1, и в сети оператора умирал на первом роутере. Тут же с интерфейса не улетает совсем ничего. Как заставить работать OSPF на GRE тоннелях? Вам нужно выкинуть GRE туннели и поднять PPTP или L2TP, тогда все заработает без проблем. Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. Вот только не надо наговаривать на микротик. Есть нормальные, рабочие, общепринятые технологии, а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает, нужно от них отказаться, перейдя на общепринятое рабочее решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 13 февраля, 2014 Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec. Чего-чего? Ничего не путаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 февраля, 2014 Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec. Чего-чего? Ничего не путаете? Нет не путаю. Просто всегда остаются любители IP адреса руками везде, где только можно и нельзя, прописывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 13 февраля, 2014 Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec. Чего-чего? Ничего не путаете? Нет не путаю. Просто всегда остаются любители IP адреса руками везде, где только можно и нельзя, прописывать. нуну а DMVPN через что работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 13 февраля, 2014 (изменено) g3fox, все работает и с /32 R1: /interface bridge add ageing-time=5m arp=enabled auto-mac=no disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 name=loopback \ priority=0x8000 protocol-mode=none transmit-hold-count=6 /ip address add address=10.10.10.12/32 disabled=no interface=vlan-1001-ospf network=10.10.10.13 add address=10.255.255.1/32 disabled=no interface=loopback network=10.255.255.1 /routing ospf instance set [ find default=yes ] disabled=no distribute-default=never in-filter=ospf-in metric-bgp=auto metric-connected=20 metric-default=1 metric-other-ospf=auto \ metric-rip=20 metric-static=20 name=default out-filter=ospf-out redistribute-bgp=no redistribute-connected=as-type-2 redistribute-other-ospf=no \ redistribute-rip=no redistribute-static=no router-id=10.255.255.1 /routing ospf network add area=backbone disabled=no network=10.10.10.13/32 R2: /interface bridge add ageing-time=5m arp=enabled auto-mac=no disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 name=loopback \ priority=0x8000 protocol-mode=none transmit-hold-count=6 /ip address add address=10.10.10.13/32 disabled=no interface=vlan-1001-ospf network=10.10.10.12 add address=10.255.255.2/32 disabled=no interface=loopback network=10.255.255.2 set [ find default=yes ] disabled=no distribute-default=never in-filter=ospf-in metric-bgp=auto metric-connected=20 metric-default=1 metric-other-ospf=auto \ metric-rip=20 metric-static=20 name=default out-filter=ospf-out redistribute-bgp=no redistribute-connected=as-type-2 redistribute-other-ospf=no \ redistribute-rip=no redistribute-static=no router-id=10.255.255.2 /routing ospf network add area=backbone disabled=no network=10.10.10.12/32 как-то так. итого 2 ip на точка-точка, ну еще можно повесить "белые ip" на loopback если надо. Тут редистрибьюция так, для примера. Сами выберите что надо редистрибьютировать. Изменено 13 февраля, 2014 пользователем saaremaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 13 февраля, 2014 а, сорри мой пример не для гре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 февраля, 2014 Тип интерфейса p-t-p сделайте и аутентификацию отрубите если она есть. Все должно работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 14 февраля, 2014 Тип интерфейса p-t-p сделайте и аутентификацию отрубите если она есть. Все должно работать. Аутентификации нет. Про тип ptp я уже писал... Заработало только с /30. Но меня в общем-то и так устраивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 17 февраля, 2014 Снова всем привет. Не хочется создавать новую тему. Попробую для начала написать тут. Микротик в кач-ве DHCP-клиента не хочет принимать шлюз по DHCP. В дампе пакетов я вижу соответствующую опцию: Default-Gateway Option 3, length 4: 192.168.136.1 Однако в таблице маршрутизации маршрут не появляется. И в статусе dhcp-клиента поле "Gateway" пустое. Что за хрень? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 февраля, 2014 Снова всем привет. Не хочется создавать новую тему. Попробую для начала написать тут. Микротик в кач-ве DHCP-клиента не хочет принимать шлюз по DHCP. В дампе пакетов я вижу соответствующую опцию: Default-Gateway Option 3, length 4: 192.168.136.1 Однако в таблице маршрутизации маршрут не появляется. И в статусе dhcp-клиента поле "Gateway" пустое. Что за хрень? Галочку соответствующую не забыли поставить во время создания DHCP Client? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 17 февраля, 2014 Снова всем привет. Не хочется создавать новую тему. Попробую для начала написать тут. Микротик в кач-ве DHCP-клиента не хочет принимать шлюз по DHCP. В дампе пакетов я вижу соответствующую опцию: Default-Gateway Option 3, length 4: 192.168.136.1 Однако в таблице маршрутизации маршрут не появляется. И в статусе dhcp-клиента поле "Gateway" пустое. Что за хрень? Галочку соответствующую не забыли поставить во время создания DHCP Client? Галочка стоит, метрика 100. С метрикой 0 всё также также - маршрут не добавляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 февраля, 2014 а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 февраля, 2014 а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Приведите хоть один плюс GRE туннеля или IPSec перед обычным L2TP в плане автоматизации подключения и ввода в работу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 18 февраля, 2014 Saab, поясните пожалуйста. Если в микротике в файрволе как критерий указать входящий интерфейс "l2tp-in1" (интерфейс l2tp сервера), и разрешить весь трафик. То будет ли это правило матчить весь трафик который поступает через все интерфейсы l2tp сервера? Например есть ифейс сервера l2tp-in1, а также динамически созданные ифейсы: l2tp-xxx, l2tp-yyy, l2tp-zzz. Правило, которое разрешает весь входящий трафик на интерфейсе l2tp-in1 сматчит весь трафик в т.ч. с динамически созданных интерфейсов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 февраля, 2014 Saab, поясните пожалуйста. Если в микротике в файрволе как критерий указать входящий интерфейс "l2tp-in1" (интерфейс l2tp сервера), и разрешить весь трафик. То будет ли это правило матчить весь трафик который поступает через все интерфейсы l2tp сервера? Например есть ифейс сервера l2tp-in1, а также динамически созданные ифейсы: l2tp-xxx, l2tp-yyy, l2tp-zzz. Правило, которое разрешает весь входящий трафик на интерфейсе l2tp-in1 сматчит весь трафик в т.ч. с динамически созданных интерфейсов? Вы что-то путаете. Никакого интерфейса L2TP сервера нет, то, что вы создали - удалите, это не правильная настройка. Для включения достаточно нажать кнопку L2TP в разделе PPP и поставить галочку. После того, как добавите в секреты учетки абонентов, они смогут подключаться. Работать с динамическими интерфейсами файрволом нельзя, т.к. при отключении и повторном подключении правило не будет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 18 февраля, 2014 а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Приведите хоть один плюс GRE туннеля или IPSec перед обычным L2TP в плане автоматизации подключения и ввода в работу. Не это ты выдумал безумную парадигму устарелости IPSEC ты и должен её как то аргументировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2014 а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Приведите хоть один плюс GRE туннеля или IPSec перед обычным L2TP в плане автоматизации подключения и ввода в работу. Не это ты выдумал безумную парадигму устарелости IPSEC ты и должен её как то аргументировать. Я не использую IPSEC, вот мой аргумент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 19 февраля, 2014 Я не использую IPSEC, вот мой аргумент. Корона не жмет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...