Mikrotik Cisco GRE-tunnel

Обсуждение на тему выбора оборудования
Ответить
amnesiak
Сообщения: 4
Зарегистрирован: 26 мар 2013, 15:30

Подскажите пожалуйста в чём может быть проблема, ситуация следующая: имеется Cisco 1841 c "белым" адресом в офисе и Mikrotik RouterBoard 2011LS-IN тоже с "белым адресом" в филиале, между ними был поднят GRE-тунель, были добавлены статические маршруты. Туннель поднялся, между локалкой офиса и локалкой филиала всё прекрасно пинговалось, но недолго. Заметил такую интересную особенность, если пинговать со стороны офиса (где стоит Cisco) в сторону филиала (где стоит Mikrotic), то пинги не идут, при этом команда "show ip interface brief" на Cisco показывает что туннел в состоянии up. А если пинговать со стороны филиала (где стоит Mikrotic) в сторону офиса (где стоит Cisco) то пинги идут, и как только пинги дойдут до офиса примерно в количестве 4-х или 5-ти пакетов, то начинает всё пинговатся и в обратную сторону. Т.е. я делал так, сначала запускал командную строку с ПК находящегося в офисе, и запускал "ping 10.77.3.9 /t" (это внутренний адрес Микротика в филиале), в итоге получал "Превышен интервал ожидания для запроса", затем я подключался к Микротику по белому адресу через WinBox, запускал терминал и начинал пинговать внутренний адрес Cisco в офисе "ping 192.168.2.9", примерно после 4-го или 5-го ответа от офисной цыски, у меня начинала пинговатся сеть 10.77.3.0. Почему так происходит для меня остаётся загадкой, обычный GRE-тунель, без шифрования.
Может быть вы мне подскажите как решить эту проблему?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а в момент когда со стороны офиса с киской не пингуется, с самой циски адрес мтика в тунеле пингуется?


amnesiak
Сообщения: 4
Зарегистрирован: 26 мар 2013, 15:30

тунельный адрес микротика в этот момент тоже не пингуется, но стоит начать пинговать со стороны микротика в сторону цыски, как тут же начинают идти пинги и до тунельного адреса микротика и до локалки находящейся за микротиком.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а попробовать увести тунель в даун с обеих сторон и заново поднять? попробуйте установить в настройках gre тунеля keep alive, чтобы проверить, что он точно живой.


amnesiak
Сообщения: 4
Зарегистрирован: 26 мар 2013, 15:30

Спасибо тебе добрый человек, сам бы я вряд ли догадался. После установки keep alive в 3 секунды на цыске (по умолчанию вроде бы 5 секунд) и 3 секунды на микротике (по умолчанию так и не нашёл сколько) туннель нормально заработал. Я до этого работал только с цысками, они между собой всегда завязывались с первого раза, keep alive я впервые задавал вручную на тунельных интерфейсах. Видимо это или особенность GRE между циской и микротиком или у меня что-то с кармой, сперва я подумал может быть проблема в RouterOS, изначально она была у меня 5.16 (чтение форумов говорило о том, что бывают серьёзные проблемы в разных прошивках и что первым делом необходимо обновить её), но после обновления её до версии 6.0 ничего не изменилось.
Теперь предстоит следующая задача, зашифровать этот тунель, если интересно, то могу потом написать что из этого получилось.
Ещё раз спасибо за правильную наводку.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

amnesiak писал(а):Теперь предстоит следующая задача, зашифровать этот тунель, если интересно, то могу потом написать что из этого получилось.


Конечно!!! Постите сюда конфиги и результаты вашей работы. Будет очень интересно.

Я, кстати, всегда кип алив везде отключаю, если возможно. Были случаи несовместимости.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

amnesiak писал(а):сперва я подумал может быть проблема в RouterOS, изначально она была у меня 5.16 (чтение форумов говорило о том, что бывают серьёзные проблемы в разных прошивках и что первым делом необходимо обновить её), но после обновления её до версии 6.0 ничего не изменилось.


совет, сделайте downgrade до 5.24, у шестой ветки пока что очень много болезней, в том числе и с шифрованиями. можете споткнутся на ровном месте и не понять, почему.


Ответить