[ievolution]

В общем ситуация такая: получаем uplink маршрутизируемый вышестоящим провайдером.

Есть сетка 88.25.191.236/30

88.25.191.238 - Linux router на CentOS, NAT-ит локалку 192.168.0.1/24

88.25.191.237 - провайдерский шлюз

 

Выпросили блок белых айпишников 88.25.185.152/29. UpLink-провайдер говорит пускать его через шлюз 88.25.191.237 статической маршрутизацией.

Нужно второй сервер на Mikrotik RouterOS с адресом 88.25.185.154 пустить в инет (в будущем серверов будет несколько, чтобы /29 занять). Подскажите, как реализовать такую схему? Как роутить?

[Lynx10]

на шлюзе "88.25.191.237" должно быть несколько интерфейсов

 

1 как вариант поднять на интерфейсе на шлюзе "88.25.191.237" серую сеть например 10.0.0.1/24 .

микротику назначить один из адресов из серой сети (10.0.0.2) и на этот серый адрес закрутить 88.25.185.154

шлюз по умолчанию на микротике 10.0.0.1

 

 

2 другой вариант на интерфейсе на шлюзе "88.25.191.237" поднять 88.25.185.153/29

тогда назначаете микротику просто 88.25.185.154/29 и шлюз по умолчанию на 88.25.185.153

 

3 третий вариант можна с аннамберед поиграться ....

[ievolution]

Дело в том, что 88.25.191.237 - сервер-шлюз, находиться у провайдера и к нему нет доступа для конфигураций. Есть доступ к 88.25.191.238 он выходит в инет через 88.25.191.237 просто прописыванием IP gateway на WAN интерфейсе, второй интерфейс - LAN 192.168.0.1/255

Пробовал прописать вторым IP на WAN интерфейсе 88.25.185.153, пускать через него остальные белые адреса, ping дальше 88.25.191.238 не идет, ip forwarding включен.

Техподдержка провайдера говорит, что на 88.25.191.237 прописаны маршруты для сети 88.25.185.152/29, а нам нужно прописать роут этой сетки через 88.25.191.237... Вот ломаю голову как...

[g3fox]

На своём линуксовом сервере добавляете ещё один интерфейс с адресом 88.25.185.153/29.

К этому интерфейсу подключаете свои сервера и выдаёте им адреса из блока, который вам выделили: 88.25.185.154/29, 88.25.185.155/29 и т.д.

На ваших серверах прописываете шлюзом, разумеется, 88.25.185.153.

 

Всё будет работать при условии, что в файрволе на линуксовом роутере у вас всё будет правильно.

[vlad11]

В общем ситуация такая: получаем uplink маршрутизируемый вышестоящим провайдером.

Есть сетка 88.25.191.236/30

88.25.191.238 - Linux router на CentOS, NAT-ит локалку 192.168.0.1/24

88.25.191.237 - провайдерский шлюз

 

Выпросили блок белых айпишников 88.25.185.152/29. UpLink-провайдер говорит пускать его через шлюз 88.25.191.237 статической маршрутизацией.

Нужно второй сервер на Mikrotik RouterOS с адресом 88.25.185.154 пустить в инет (в будущем серверов будет несколько, чтобы /29 занять). Подскажите, как реализовать такую схему? Как роутить?

 

Ввести два обозначения сетевых интерфейсов:

 

• iface1 на Linux роутере, смотрящего на микротик
  
• iface2 на Микротике, смотрящего на Linux роутер
  

 

Прописать маршруты на Linux роутере:

 

• route add net 88.25.185.152/29 dev iface1
  
• route add default 88.25.191.237 (проверить наличие дефолта на провайдера!)
  

 

Прописать маршруты на Микротике:

 

• route add 88.25.191.238 dev iface2
  
• route add default 88.25.191.238
  
• route add net 88.25.185.152/29 dev lo
  

А дальше делите сеть 88.25.185.152/29 по вкусу на микротике.

 

 

Извините, пишу линуксовые команды роутинга. Идея, надеюсь, ясна

Изменено 14 февраля, 2014 пользователем vlad11

[hsvt]

На MX80 используется ip-unnumbered с шлюзами для клиентов на интерфейсе lo0.0 (разделены по подсетям)

 

unit 0 {
   family inet {
       /* For unnumbered GW */
       address 1.1.11.4/32;
       /* For unnumbered GW */
       address 1.1.12.4/32;
       /* For unnumbered GW */
       address 1.1.13.4/32;
       /* For unnumbered GW */
       address 1.1.14.4/32;
       /* For_unnambered_GW */
       address 1.1.15.4/32;
       /* For_unnambered_GW */
       address 1.1.16.4/32;
   }
}

 

Есть управляющий VLAN в котором находятся различные сервера в этих же подсетях. В одной подсети, например, 1.1.11.0/24 уже не видно 1.1.11.4, но при этом между разными подсетями трафик ходит и видно все остальные шлюзы на lo0.0, то есть я могу с сервера с адресом 1.1.11.5 пинговать 1.1.12.4 (Шлюз на lo0.0) и самого клиента, до тех пор пока не повешу alias на сервере из подсети этого же шлюза - 1.1.12.5.

 

Тогда сразу же получаю

From 1.1.12.6 icmp_seq=45 Destination Host Unreachable

и

19:16:03.255111 ARP, Request who-has 1.1.11.4 tell 1.1.12.6, length 28

 

Как только снимаю интерфейс (не важно будь то Linux или FreeBSD)

ip a del 1.1.12.6/24 brd 1.1.1.255 dev bond0

- пинги снова пошли.

 

В маршрутах по умолчанию на серверах указаны шлюза той же подсети в котором сервер, шлюзы для них находятся на MX80 irb интерфейсе и тоже разделены по разным подсетям /24 с которых в свою очередь пириться BGP.

 

Соотвественно из-за проблемы выше клиенты в unnumbered (отдельный VLAN без QinQ /32 через 1.1.11.4) не могут ходить на эти сервера и сервисы которые там используются и наоборот. Клиенты у себя указывают /24 и шлюз своей подсетки из lo0.0

 

unit 2012 {
   description "Test unnumbered";
   proxy-arp;
   vlan-id 1000;
   family inet {
       unnumbered-address lo0.0 preferred-source-address 1.1.11.4;
   }
}

 

route 1.1.11.54/32 {
   qualified-next-hop ge-1/1/1.1000

 

Proxy arp на юните включен, на серверах включение ничего не даёт. Речь о форвардинге и НАТе здесь не идёт. iptables и ipfw\pf не задействованы, сейчас голый стэнд на Debian сервере. в sysctl отключены source route и всякие redirect. Некоторые сервера воткнуты напрямую в MX, некоторые через пару D-Link с пробросом VLAN. Инженеры выручайте)

Изменено 22 мая, 2015 пользователем hsvt

[vlad11]

На MX80 используется ip-unnumbered с шлюзами для клиентов на интерфейсе lo0.0 (разделены по подсетям)

Инженеры выручайте)

 

А вы пробовали пройти курсы и сертификацию Juniper?

[SyJet]

На MX80 используется ip-unnumbered с шлюзами для клиентов на интерфейсе lo0.0 (разделены по подсетям)

Инженеры выручайте)

 

А вы пробовали пройти курсы и сертификацию Juniper?

А что, курсы ему дадут +3см к длине члена, без коих вы не можете ничего посоветовать форумяанину?

[hsvt]

На MX80 используется ip-unnumbered с шлюзами для клиентов на интерфейсе lo0.0 (разделены по подсетям)

Инженеры выручайте)

 

А вы пробовали пройти курсы и сертификацию Juniper?

 

А вы я смотрю прошли уже и не только Juniper ? http://forum.nag.ru/forum/index.php?showtopic=90770&st=0&p=1129266entry1129266 чего же вы про них не пишите в своей теме?

 

Нечего по делу сказать - лучше промолчать, во всех темах троллинг от вас только постоянно чесн слово.

[DVM-Avgoor]

Нечего по делу сказать - лучше промолчать, во всех темах троллинг от вас только постоянно чесн слово.

 

Да у вас так написано, что никто понять-то то не может что вы там наворотили. Теперь траблшутить это предлагаете остальным?

Не ясно что лежит под unnumbered, вланы? Каждый клиент в своем влане? Зачем серверу алиасы на одном интерфейсе из разных сетей если это должны быть физически разные интерфейсы? Или это все один большой широковещательный домен? Зачем серверы должны быть в л2 доступе? Нельзя просто роутить на них? Там еще bond, он точно петли не дает?

В общем пока из описания ясно только то, что вы книжек от juniper все же не читали.

[vlad11]

 

А вы я смотрю прошли уже и не только Juniper ? http://forum.nag.ru/forum/index.php?showtopic=90770&st=0&p=1129266entry1129266 чего же вы про них не пишите в своей теме?

 

Нечего по делу сказать - лучше промолчать, во всех темах троллинг от вас только постоянно чесн слово.

 

Спасибо что вы читаете и поднимаете вверх мою тему.

 

Несмотря на NDA, могу сказать - клиенты такого наворотят в конфигах, что сами ложат свою сеть.

 

Если хотите получить ответ, то рисуйте вменяемые схемы уровня L1, L2 и L3, не забудьте прикладывать таблицы роутинга, можно изменять первые три группы цифр у IP адресов.

[hsvt]

Нечего по делу сказать - лучше промолчать, во всех темах троллинг от вас только постоянно чесн слово.

 

Да у вас так написано, что никто понять-то то не может что вы там наворотили. Теперь траблшутить это предлагаете остальным?

Не ясно что лежит под unnumbered, вланы? Каждый клиент в своем влане? Зачем серверу алиасы на одном интерфейсе из разных сетей если это должны быть физически разные интерфейсы? Или это все один большой широковещательный домен? Зачем серверы должны быть в л2 доступе? Нельзя просто роутить на них? Там еще bond, он точно петли не дает?

В общем пока из описания ясно только то, что вы книжек от juniper все же не читали.

 

Ну так я и стараюсь максимально подробно и доступно описать что и как сделано. Я не воротил :) уже было сделано до меня. На ваши вопросы с радостью отвечу. Да, вланы и каждый клиент в своём влане со статикой. Алиасы для примера, но бывает такое, что на сервере несколько IP адресов на одном физическом интерфейсе из разных подсетей. Каждый IP слушает свои службы и порты. Разные домены, так повелось изначально, bond0 не петлит - за пример просто был взят сервер с bonding. Хорошо давайте упростим схему.

 

show configuration interfaces ge-1/3/4
description Netflow;
unit 0 {
   family bridge {
       interface-mode access;
       vlan-id 300;
   }
}

 

VLAN - 300 даёт uplink транком, он же и LIR и его адреса по сути в аренде у нас. Этот же VLAN используется для служебных серверов, для клиентов используются свои вланы, для коммутаторов тоже свой managment vlan и серая сеть.

 

За этим портом сервер:

 

ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
       options=88<VLAN_MTU,VLAN_HWCSUM>
       ether 00:21:30:3f:4с:a0
       inet 1.1.11.11 netmask 0xffffff00 broadcast 1.1.11.255
       media: Ethernet autoselect (1000baseT <full-duplex>)
       status: active
em1: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
       options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
       ether 00:21:30:3f:4с:a1
       media: Ethernet autoselect
       status: no carrier

 

arp -an | grep incomplete
? (1.1.11.4) at (incomplete) on em0 expired [ethernet]

 

tcpdump -n -i em0 host 1.1.11.4
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:26:33.221210 ARP, Request who-has 1.1.11.4 tell 1.1.11.11, length 28
14:26:34.221675 ARP, Request who-has 1.1.11.4 tell 1.1.11.11, length 28
14:26:35.222174 ARP, Request who-has 1.1.11.4 tell 1.1.11.11, length 28
14:26:36.222674 ARP, Request who-has 1.1.11.4 tell 1.1.11.11, length 28
14:26:37.223172 ARP, Request who-has 1.1.11.4 tell 1.1.11.11, length 28

 

1.1.11.4 - как уже писал висит на lo0.0, все остальные адреса на lo0.0 доступны. Если беру себе адрес другой подсети - вижу 1.1.11.4, но перестаю видеть шлюз той подсети которую взял.

Изменено 25 мая, 2015 пользователем hsvt

[DVM-Avgoor]

1.1.11.4 - как уже писал висит на lo0.0, все остальные адреса на lo0.0 доступны. Если беру себе адрес другой подсети - вижу 1.1.11.4, но перестаю видеть шлюз той подсети которую взял.

Смените маки на сервере на каждом алиасе бонда которым вы втыкаетесь в MX, так чтобы они были разные.

[hsvt]

1.1.11.4 - как уже писал висит на lo0.0, все остальные адреса на lo0.0 доступны. Если беру себе адрес другой подсети - вижу 1.1.11.4, но перестаю видеть шлюз той подсети которую взял.

 

Смените маки на сервере на каждом алиасе бонда которым вы втыкаетесь в MX, так чтобы они были разные.

 

 

В примере выше сервер на FreeBSD без bond0 и lagg, просто em0.

 

Смотрите, тоже самое и с irb интерфейсами. Некоторым клиентам даётся сразу (без unnumbered) /29 или /30 тоже в своём VLAN.

 

show configuration interfaces irb unit 2031description client1;family inet {   policer {       input 20mbps;       output 20mbps;   }   address 1.1.11.113/29;}

 

 

show configuration bridge-domains vlan2031description client1;vlan-id 2031;routing-interface irb.2031;

 

 

С серверов которые в подсети 1.1.11.0/24 не вижу шлюз 1.1.11.113 на Juniper, а клиенты не видят этих серверов. Что еще может быть?

Изменено 25 мая, 2015 пользователем hsvt

[DVM-Avgoor]

Вы маки на этом интерфейсе меняли? Или нет?

 

В примере выше сервер на FreeBSD без bond0 и lagg, просто em0.

 

[hsvt]

Вы маки на этом интерфейсе меняли? Или нет?

 

В примере выше сервер на FreeBSD без bond0 и lagg, просто em0.

 

Нет конечно, зачем вообще где то менять маки? Ничего нигде не менялось. И на портах нет привязок.

[DVM-Avgoor]

Нет конечно, зачем вообще где то менять маки? Ничего нигде не менялось. И на портах нет привязок.

 

Вам дали совет, но вы противитесь ему и не понимаете в чем он. В таком случае не вижу смысла продолжать дальше, ищите методом тыка, коль угодно так.

[hsvt]

Нет конечно, зачем вообще где то менять маки? Ничего нигде не менялось. И на портах нет привязок.

 

Вам дали совет, но вы противитесь ему и не понимаете в чем он. В таком случае не вижу смысла продолжать дальше, ищите методом тыка, коль угодно так.

 

А о каких маках речь, уважаемый? Забудьте про bond0, на другом сервере с em0 без алиасов одним физическим интерфейсом вы на какой мак мне менять предлагаете ?

 

Вот как сейчас - маки без "купюр"

 

 

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
       options=88<VLAN_MTU,VLAN_HWCSUM>
       ether 00:25:90:3a:4e:a0
       inet 1.1.11.11 netmask 0xffffff00 broadcast 1.1.11.255
       media: Ethernet autoselect (1000baseT <full-duplex>)
       status: active
em1: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
       options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
       ether 00:25:90:3a:4e:a1
       media: Ethernet autoselect
       status: no carrier
pflog0: flags=100<PROMISC> metric 0 mtu 33152
pfsync0: flags=0<> metric 0 mtu 1500
       syncpeer: 0.0.0.0 maxupd: 128
ipfw0: flags=8800<SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
       options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
       inet 127.0.0.1 netmask 0xff000000

 

Изменено 26 мая, 2015 пользователем hsvt

[DVM-Avgoor]

А о каких маках речь, уважаемый? Забудьте про bond0, на другом сервере с em0 без алиасов одним физическим интерфейсом вы на какой мак мне менять предлагаете ?

 

Подождите, вы делаете на интерфейсе просто алиасы и физически они все в одном влане? И до всех алиасов есть роут на MX с lo0.0 через бридж? Ох... Зачем все это?

[hsvt]

А о каких маках речь, уважаемый? Забудьте про bond0, на другом сервере с em0 без алиасов одним физическим интерфейсом вы на какой мак мне менять предлагаете ?

 

 

Подождите, вы делаете на интерфейсе просто алиасы и физически они все в одном влане? И до всех алиасов есть роут на MX с lo0.0 через бридж? Ох... Зачем все это?

 

 

Да, в одном. Это служебный VLAN в нём разные сервера (просто пробрасывается через family bridge access и вешается нужный адрес на сервер) и в нём же сами адреса MX для анонса сеток uplinkam и этот же VLAN (300) даёт нам uplink транком LIR вместе с адресами, только повешено это всё дело на irb unit 300, но физические интерфейсы с агрегированы в ae2. Правильней было бы повесить сетки на него, это исправлю. Суть то не в этом... Насчёт роута затрудняюсь ответить, на lo0.0 просто были повешены дополнительные адреса для того чтобы клиентам выдавать ip-unnumbered и не тратить по /29 /30 сетям. Зачем - так было сделано изначально...

 

 

show configuration interfaces irb unit 300family inet {   address 1.1.15.1/22;   address 1.1.11.1/24;   address 1.1.12.1/24;   address 1.1.13.1/24;   address 1.1.14.1/24;   address 1.1.16.1/22;}

 

 

Вот show route до сервера выше с em0

 

 

show route 1.1.11.11inet.0: 552641 destinations, 1093115 routes (552231 active, 0 holddown, 921 hidden)+ = Active Route, - = Last Active, * = Both1.1.11.0/24    *[Direct/0] 17w5d 01:20:55                   > via irb.300fbr.inet.0: 995 destinations, 995 routes (995 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = Both1.1.11.0/24    *[Direct/0] 17w5d 01:20:55                   > via irb.300

 

 

Трассировка от сервера до одного из адресов на lo0.0 (адреса в одной подсети)

 

traceroute -n 1.1.11.4traceroute to 1.1.11.4 (1.1.11.4), 129 hops max, 52 byte packets1  * * *2  * *traceroute: sendto: Host is downtraceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is down3 traceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is downtraceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is downtraceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is down4 traceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is downtraceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is downtraceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is down5 traceroute: wrote 1.1.11.4 52 chars, ret=-1*traceroute: sendto: Host is downtraceroute: wrote 1.1.11.4 52 chars, ret=-1

 

 

Другой шлюз на lo0.0 (разные подсети).

 

 

traceroute -n 1.1.12.4traceroute to 1.1.12.4 (1.1.12.4), 129 hops max, 52 byte packets1  1.1.12.4  0.401 ms  0.292 ms  0.276 ms

 

 

 

arp -an | grep 1.1.12.4

по arp не видно.

 

 

netstat -rn4Routing tablesInternet:Destination        Gateway            Flags    Refs      Use  Netif Expiredefault            1.1.11.1       UGS         0     3140    em01.1.11.0/24        link#5             U           0 178801078    em01.1.11.11          link#5             UHS         0  1299646    lo0127.0.0.1          link#14            UH          0        0    lo0

 

 

Вот всё описал уже, криво конечно. Но вопрос открыт, как мне связать клиентов и сервера в одной подсети с шлюзами для клиентов на irb (/29 /30) или с ip-unnumbered на lo0.0 ?

Изменено 26 мая, 2015 пользователем hsvt

[DVM-Avgoor]

У вас одинаковые сети и на lo0.0 и на irb.300 что-ли?

[hsvt]

Да, одинаковые. Ну как, не идентичные же. На irb.300 1.1.11.1/24, на lo0.0 1.1.11.4/32, что есть из свободных.

[DVM-Avgoor]

Да, одинаковые. Ну как, не идентичные же. На irb.300 1.1.11.1/24, на lo0.0 1.1.11.4/32, что есть из свободных.

 

Вы знаете, я не готов искать в чем там причина, но повторю вопрос на всякий случай: а абонентам одного IP-адреса сервера не будет достаточно? Если уж обязательно надо завести отдельно в эти же сети - ну и заведите его в этих вланах и терминируйте как абонента на lo0.0

Я не думаю что любой возьмется потраблшутить вашу архитектуру, потому что страшно залипнуть на пару дней :)

[hsvt]

Да, одинаковые. Ну как, не идентичные же. На irb.300 1.1.11.1/24, на lo0.0 1.1.11.4/32, что есть из свободных.

 

Вы знаете, я не готов искать в чем там причина, но повторю вопрос на всякий случай: а абонентам одного IP-адреса сервера не будет достаточно? Если уж обязательно надо завести отдельно в эти же сети - ну и заведите его в этих вланах и терминируйте как абонента на lo0.0

Я не думаю что любой возьмется потраблшутить вашу архитектуру, потому что страшно залипнуть на пару дней :)

 

Спасибо что хотя бы поинтересовались вопросом и темой :) Не достаточно, например, из-за того, что ns0 и ns1 сервера в разных подсетях. Так еще и нужен доступ к другим клиентам (они выходят через pppoe nat на белый IP). Еще по разбираюсь...

[DVM-Avgoor]

Спасибо что хотя бы поинтересовались вопросом и темой :) Не достаточно, например, из-за того, что ns0 и ns1 сервера в разных подсетях. Так еще и нужен доступ к другим клиентам (они выходят через pppoe nat на белый IP). Еще по разбираюсь...

 

Давайте проясним кое-что, то что сервера в разных подсетях для IP не страшно, роутинг для этого и существует. Это страшно только для всякого PPPOE который живет только на L2, но терминируется PPPOE разве не на MX? Или у вас белая сетка в которую терминируются абоненты не маршрутизируется вами а выдана сверху провайдером с шлюзом в этой же подсети?