форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"ospf quagga mikrotik"	+/–
Сообщение от suharik71 (ok) on 24-Мрт-15, 14:01
Добрый день друзья. Решил попробовать соорудить сарай с динамической маршрутизацией, но сарай не стоится. Суть такая: три хоста   1) Mikrotik CCR  2) Mikrotik RB   3) Centos (quagga) Между всеми прокинут IPSEC в транспортном режиме. Внутри IPSEC поднят GRE. Хосты друг друга видят пингуют SSH работает. Делая на статических роутах - пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и тут прилип. Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились. А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello до него доходят. И он отвечает, о чем свидетельствует дамп. А вот из туннеля на RB и CCR ни чего не выходит, о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения дропа трафика. Не помогло. Куда еще рыть - не понятно. Подсобите кто чем сможет.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ospf quagga mikrotik"	+/–
Сообщение от vigogne (ok) on 24-Мрт-15, 15:01
>[оверквотинг удален] > друг друга видят пингуют SSH работает. Делая на статических роутах - > пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и > тут прилип. > Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились. > А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello > до него доходят. И он отвечает, о чем свидетельствует дамп. А > вот из туннеля на RB и CCR ни чего не выходит, > о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения > дропа трафика. Не помогло. Куда еще рыть - не понятно. > Подсобите кто чем сможет. Смотри в сторону MTU/MSS...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ospf quagga mikrotik"	+/–
	Сообщение от suharik71 (ok) on 24-Мрт-15, 15:43
	>[оверквотинг удален] >> пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и >> тут прилип. >> Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились. >> А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello >> до него доходят. И он отвечает, о чем свидетельствует дамп. А >> вот из туннеля на RB и CCR ни чего не выходит, >> о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения >> дропа трафика. Не помогло. Куда еще рыть - не понятно. >> Подсобите кто чем сможет. > Смотри в сторону MTU/MSS... Смотрю. Сейчас буду пробовать до подле рассчитать какое оно должно быть.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "ospf quagga mikrotik"	+/–
	Сообщение от suharik71 (ok) on 24-Мрт-15, 20:07
	>> Смотри в сторону MTU/MSS... Еще предложения будут? У туннеля MTU 1476 с двух сторон. В одну сторону идут в другую нет. Сея концепция больше эксперементальная нежели для продакшена. Но сам факт интересен.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "ospf quagga mikrotik"	+/–
	Сообщение от vigogne (ok) on 24-Мрт-15, 21:16
	>>> Смотри в сторону MTU/MSS... > Еще предложения будут? У туннеля MTU 1476 с двух сторон. В одну > сторону идут в другую нет. > Сея концепция больше эксперементальная нежели для продакшена. Но сам факт интересен. Рекомендации построения туннельных интерфейсов Исходя из того, что наиболее "тяжелый" вариант - это одновременное использование GRE и IPsec, рекомендации будут следующие: - PMTUD позволяет установить на GRE интерфейсе оптимальное значение MTU и включается на туннельном интерфейсе командой tunnel path-mtu-discovery - Обеспечьте нормальную работу PMTUD, при этом на обоих целевых хостах должна успешно выполняться mturoute.exe - Также рекомендуется одновременно использовать и команду ip mtu 1400. В этом случае ip mtu будет обеспечивать пространство для GRE + IPSec, в случае же более низких значениях MTU по пути, IP MTU бует подкорректировано динамически. Значение 1400 рекомендовано, т.к. оно покрывает большинство возможных комбинаций GRE + IPSec. - Следует использовать ip tcp adjust-mss 1360 на туннельном интерфейсе. Это позволит маршрутизатору уменьшить значение TCP MSS в TCP SYN Packet. Что позволить двух конечным хостам генерировать достаточно малые пакеты. (1360 = 1400 - 20(TCP) - 20 (IP)) Отсюда: http://ciscomaster.ru/content/ip-mtu-i-tunneli-ipsec-i-gre
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "ospf quagga mikrotik"	+/–
	Сообщение от suharik71 (ok) on 24-Мрт-15, 21:59
	Благодарю за хороший ответ. Проверю. Отпишусь
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "ospf quagga mikrotik"	+/–
	Сообщение от suharik71 (ok) on 25-Мрт-15, 09:54
	> Благодарю за хороший ответ. Проверю. Отпишусь Проверил. Отписываюсь. После замены MTU на интерфейчас GRE на 1400 изначально результата не было. Нарвался на еще одну статью к которой было сказано что если TTL на концах разное ни чего арбайтен не будет. Забубенил равное 64 со всех сторон. Изменение MSS ни как на работу не влиял - посему я плюнул на него. И ко всему прочему в QUAGGA в настройках интерфейсов добил параметр ip ospf mtu-ignor. После чего начало шуршать и в итоге заработало.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема