g3fox Опубликовано 13 февраля, 2014 · Жалоба Здравствуйте! Есть территориально разнесённые офисы. Между ними подняты GRE тоннели. Хочу запустить OSPF поверх GRE. В микротике интерфейс добавляется в процесс OSPF, но как passive. И, соответственно, ничего туда не шлёт. На linux\quagga у меня такая схема работала, но необходимо было менять пакетам TTL. Иначе OSPF заворачивался в GRE c TTL=1, и в сети оператора умирал на первом роутере. Тут же с интерфейса не улетает совсем ничего. Как заставить работать OSPF на GRE тоннелях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 13 февраля, 2014 · Жалоба Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 февраля, 2014 · Жалоба Я разобрался. Он не хочет работать если маска более 30 бит. с /32 и /31 не взлетело ... С 31 определяет интерфейс как ptp. Но не видит соседа. С 32 определяет интерфейс как passive. C 30 интерфейс - ptp, соседа видно. Хотя в примере используется маска /32. Придётся лепить /30 на все тоннели. Всем спасибо, всем счастья :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 февраля, 2014 · Жалоба Здравствуйте! Есть территориально разнесённые офисы. Между ними подняты GRE тоннели. Хочу запустить OSPF поверх GRE. В микротике интерфейс добавляется в процесс OSPF, но как passive. И, соответственно, ничего туда не шлёт. На linux\quagga у меня такая схема работала, но необходимо было менять пакетам TTL. Иначе OSPF заворачивался в GRE c TTL=1, и в сети оператора умирал на первом роутере. Тут же с интерфейса не улетает совсем ничего. Как заставить работать OSPF на GRE тоннелях? Вам нужно выкинуть GRE туннели и поднять PPTP или L2TP, тогда все заработает без проблем. Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. Вот только не надо наговаривать на микротик. Есть нормальные, рабочие, общепринятые технологии, а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает, нужно от них отказаться, перейдя на общепринятое рабочее решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 13 февраля, 2014 · Жалоба Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec. Чего-чего? Ничего не путаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 февраля, 2014 · Жалоба Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec. Чего-чего? Ничего не путаете? Нет не путаю. Просто всегда остаются любители IP адреса руками везде, где только можно и нельзя, прописывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 13 февраля, 2014 · Жалоба Где-то тут проскакивала тема о том, что ospf (особенно с несколькими area) на микротике то еще порево. а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec. Чего-чего? Ничего не путаете? Нет не путаю. Просто всегда остаются любители IP адреса руками везде, где только можно и нельзя, прописывать. нуну а DMVPN через что работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 13 февраля, 2014 (изменено) · Жалоба g3fox, все работает и с /32 R1: /interface bridge add ageing-time=5m arp=enabled auto-mac=no disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 name=loopback \ priority=0x8000 protocol-mode=none transmit-hold-count=6 /ip address add address=10.10.10.12/32 disabled=no interface=vlan-1001-ospf network=10.10.10.13 add address=10.255.255.1/32 disabled=no interface=loopback network=10.255.255.1 /routing ospf instance set [ find default=yes ] disabled=no distribute-default=never in-filter=ospf-in metric-bgp=auto metric-connected=20 metric-default=1 metric-other-ospf=auto \ metric-rip=20 metric-static=20 name=default out-filter=ospf-out redistribute-bgp=no redistribute-connected=as-type-2 redistribute-other-ospf=no \ redistribute-rip=no redistribute-static=no router-id=10.255.255.1 /routing ospf network add area=backbone disabled=no network=10.10.10.13/32 R2: /interface bridge add ageing-time=5m arp=enabled auto-mac=no disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 name=loopback \ priority=0x8000 protocol-mode=none transmit-hold-count=6 /ip address add address=10.10.10.13/32 disabled=no interface=vlan-1001-ospf network=10.10.10.12 add address=10.255.255.2/32 disabled=no interface=loopback network=10.255.255.2 set [ find default=yes ] disabled=no distribute-default=never in-filter=ospf-in metric-bgp=auto metric-connected=20 metric-default=1 metric-other-ospf=auto \ metric-rip=20 metric-static=20 name=default out-filter=ospf-out redistribute-bgp=no redistribute-connected=as-type-2 redistribute-other-ospf=no \ redistribute-rip=no redistribute-static=no router-id=10.255.255.2 /routing ospf network add area=backbone disabled=no network=10.10.10.12/32 как-то так. итого 2 ip на точка-точка, ну еще можно повесить "белые ip" на loopback если надо. Тут редистрибьюция так, для примера. Сами выберите что надо редистрибьютировать. Изменено 13 февраля, 2014 пользователем saaremaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 13 февраля, 2014 · Жалоба а, сорри мой пример не для гре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 февраля, 2014 · Жалоба Тип интерфейса p-t-p сделайте и аутентификацию отрубите если она есть. Все должно работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 14 февраля, 2014 · Жалоба Тип интерфейса p-t-p сделайте и аутентификацию отрубите если она есть. Все должно работать. Аутентификации нет. Про тип ptp я уже писал... Заработало только с /30. Но меня в общем-то и так устраивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 17 февраля, 2014 · Жалоба Снова всем привет. Не хочется создавать новую тему. Попробую для начала написать тут. Микротик в кач-ве DHCP-клиента не хочет принимать шлюз по DHCP. В дампе пакетов я вижу соответствующую опцию: Default-Gateway Option 3, length 4: 192.168.136.1 Однако в таблице маршрутизации маршрут не появляется. И в статусе dhcp-клиента поле "Gateway" пустое. Что за хрень? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 февраля, 2014 · Жалоба Снова всем привет. Не хочется создавать новую тему. Попробую для начала написать тут. Микротик в кач-ве DHCP-клиента не хочет принимать шлюз по DHCP. В дампе пакетов я вижу соответствующую опцию: Default-Gateway Option 3, length 4: 192.168.136.1 Однако в таблице маршрутизации маршрут не появляется. И в статусе dhcp-клиента поле "Gateway" пустое. Что за хрень? Галочку соответствующую не забыли поставить во время создания DHCP Client? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 17 февраля, 2014 · Жалоба Снова всем привет. Не хочется создавать новую тему. Попробую для начала написать тут. Микротик в кач-ве DHCP-клиента не хочет принимать шлюз по DHCP. В дампе пакетов я вижу соответствующую опцию: Default-Gateway Option 3, length 4: 192.168.136.1 Однако в таблице маршрутизации маршрут не появляется. И в статусе dhcp-клиента поле "Gateway" пустое. Что за хрень? Галочку соответствующую не забыли поставить во время создания DHCP Client? Галочка стоит, метрика 100. С метрикой 0 всё также также - маршрут не добавляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 февраля, 2014 · Жалоба а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 февраля, 2014 · Жалоба а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Приведите хоть один плюс GRE туннеля или IPSec перед обычным L2TP в плане автоматизации подключения и ввода в работу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 18 февраля, 2014 · Жалоба Saab, поясните пожалуйста. Если в микротике в файрволе как критерий указать входящий интерфейс "l2tp-in1" (интерфейс l2tp сервера), и разрешить весь трафик. То будет ли это правило матчить весь трафик который поступает через все интерфейсы l2tp сервера? Например есть ифейс сервера l2tp-in1, а также динамически созданные ифейсы: l2tp-xxx, l2tp-yyy, l2tp-zzz. Правило, которое разрешает весь входящий трафик на интерфейсе l2tp-in1 сматчит весь трафик в т.ч. с динамически созданных интерфейсов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 февраля, 2014 · Жалоба Saab, поясните пожалуйста. Если в микротике в файрволе как критерий указать входящий интерфейс "l2tp-in1" (интерфейс l2tp сервера), и разрешить весь трафик. То будет ли это правило матчить весь трафик который поступает через все интерфейсы l2tp сервера? Например есть ифейс сервера l2tp-in1, а также динамически созданные ифейсы: l2tp-xxx, l2tp-yyy, l2tp-zzz. Правило, которое разрешает весь входящий трафик на интерфейсе l2tp-in1 сматчит весь трафик в т.ч. с динамически созданных интерфейсов? Вы что-то путаете. Никакого интерфейса L2TP сервера нет, то, что вы создали - удалите, это не правильная настройка. Для включения достаточно нажать кнопку L2TP в разделе PPP и поставить галочку. После того, как добавите в секреты учетки абонентов, они смогут подключаться. Работать с динамическими интерфейсами файрволом нельзя, т.к. при отключении и повторном подключении правило не будет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 18 февраля, 2014 · Жалоба а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Приведите хоть один плюс GRE туннеля или IPSec перед обычным L2TP в плане автоматизации подключения и ввода в работу. Не это ты выдумал безумную парадигму устарелости IPSEC ты и должен её как то аргументировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2014 · Жалоба а есть устаревшие и мертворожденные, вроде туннелей GRE и IPSec, поэтому если что-то не работает А можно хоть ХОТЬ ОДНО подтверждение этим словам? Или как всегда ****ольство? Приведите хоть один плюс GRE туннеля или IPSec перед обычным L2TP в плане автоматизации подключения и ввода в работу. Не это ты выдумал безумную парадигму устарелости IPSEC ты и должен её как то аргументировать. Я не использую IPSEC, вот мой аргумент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 19 февраля, 2014 · Жалоба Я не использую IPSEC, вот мой аргумент. Корона не жмет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...