Mikrotik OSPF+OpenVPN

Обсуждение оборудования и его настройки
Ответить
xcom2002
Сообщения: 3
Зарегистрирован: 04 май 2014, 21:52

Настраивал OSPF в сети из нескольких микротиков по следующим мануалам:
http://wiki.mikrotik.com/wiki/OSPF-exam ... figuration
http://wiki.mikrotik.com/wiki/OpenVPN_C ... ep_by_Step
Схема сети:
Изображение
OpenVPN работает без сбоев, чего не скажешь об OSPF.
Изначально 2 микротика(12.0 и 88.0) подключались к 3ему(10.0) серверу
После начальной конфигурации OSPF завелся и где то день проработал, на следующий день, по образу и подобию был настроен 3ий микротик(4.0), после его установки OSPF на нем пытался подключиться, получал маршруты и отваливался со следующими сообщениями в логах:
route,ospf,info Database Description packet has init bit set in middle of an exchange
route,ospf,info OSPF neighbor 10.255.255.x: state change from Full to Down

Эти сообщения на vpn сервере и на последнем подключаемом микротике были идентичны. Я остановил OSPF на нем и прописал статику. На следующий день так же начали себя вести и остальные роутеры... Гугл не помог, возможно я не смог правильно сформулировать запрос. В итоге в панике ospf был вырублен и заменен на статические маршруты.
Хочу понять где я ошибся

 "конфиг 10.0"

Код: Выделить всё

/certificate
add common-name=vpn.blablabla.ru days-valid=180 key-usage=digital-signature,key-encipherment,key-agreement,server-gated-crypto name=cert_4 subject-alt-name=DNS:vpn.blablabla.ru trusted=yes
add common-name="CAcert Class 3 Root" days-valid=3650 key-size=4096 name=cert_5 organization="CAcert Inc." trusted=yes unit=http://www.CAcert.org
add common-name="CA Cert Signing Authority" days-valid=10957 key-size=4096 name=cert_6 organization="Root CA" subject-alt-name=email:support@cacert.org trusted=yes unit=http://www.cacert.org
/interface bridge
add l2mtu=1598 name=bridge-LAN10
add l2mtu=1598 name=bridge-LAN100
add name=loopback protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] master-port=ether6
set [ find default-name=ether9 ] master-port=ether6
set [ find default-name=ether10 ] master-port=ether6
/interface ovpn-server
add name=ovpn-server user=""
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=ovpn-pool ranges=10.0.0.2-10.0.0.30
add name=dhcp_pool1 ranges=192.168.100.1-192.168.100.253
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-LAN100 name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set 1 local-address=10.0.0.1 remote-address=ovpn-pool use-encryption=required
/routing ospf instance
set [ find default=yes ] disabled=yes redistribute-connected=as-type-1 redistribute-other-ospf=as-type-1 redistribute-static=as-type-1 router-id=10.255.255.1
/interface bridge nat
add chain=srcnat disabled=yes out-interface=ether13
/interface bridge port
add bridge=bridge-LAN100 interface=ether1
add bridge=bridge-LAN10 interface=ether6
/interface ovpn-server server
set certificate=cert_4 cipher=blowfish128,aes128,aes192,aes256 default-profile=default-encryption enabled=yes port=5555
/ip address
add address=192.168.100.254/24 comment=LAN100 interface=ether1 network=192.168.100.0
add address=192.168.10.200/24 comment=LAN10 interface=ether6 network=192.168.10.0
add address=55.55.55.55/30 comment=INET interface=ether13 network=55.55.55.53
add address=10.255.255.1/32 comment=OSPF interface=loopback network=10.255.255.1
add address=10.10.10.1/24 disabled=yes interface=ether12 network=10.10.10.0
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.254
/ip dns
set allow-remote-requests=yes servers=192.168.10.113,192.168.10.202
/ip firewall filter
add chain=input port=5555 protocol=tcp
add chain=forward connection-state=established
add chain=input src-address=192.168.0.0/16
add chain=forward src-address=192.168.0.0/16
add chain=input src-address=10.0.0.0/24
add chain=forward src-address=10.0.0.0/24
/ip firewall nat
add chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add chain=srcnat src-address=10.0.0.0/24
add action=masquerade chain=srcnat out-interface=ether13
/ip route
add check-gateway=ping distance=1 gateway=85.89.98.29
add distance=1 dst-address=192.168.4.0/24 gateway=10.0.0.4
add distance=1 dst-address=192.168.12.0/24 gateway=10.0.0.12
add distance=1 dst-address=192.168.88.0/24 gateway=10.0.0.88
/ppp secret
add name=rb951_1 password=123456 profile=default-encryption remote-address=10.0.0.12 service=ovpn
add name=rb951_3 password=123456 profile=default-encryption remote-address=10.0.0.4 service=ovpn
add name=rb951_2 password=123456 profile=default-encryption remote-address=10.0.0.88 service=ovpn
/routing ospf network
add area=backbone network=10.0.0.0/24
add area=backbone network=192.168.10.0/24
add area=backbone network=192.168.100.0/24
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=91.207.136.44 secondary-ntp=46.188.15.35


 "конфиг 88.0"

Код: Выделить всё

/interface bridge
add admin-mac=D4:CA:6D:06:F6:03 auto-mac=no l2mtu=1598 name=bridge-local
add name=loopback
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=10m name=default
/interface ovpn-client
add add-default-route=no auth=md5 certificate=none cipher=aes256 connect-to=55.55.55.55 disabled=no mac-address=02:34:CC:6E:BA:77 max-mtu=1500 mode=ip name=rb951_2 password=123456 port=5555 profile=default-encryption user=rb951_2
/routing ospf instance
set [ find default=yes ] disabled=yes redistribute-connected=as-type-1 router-id=10.255.255.4
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=ether2-master-local network=192.168.88.0
add address=10.255.255.4/32 interface=loopback network=10.255.255.4
/ip dhcp-client
add add-default-route=no comment="default configuration" dhcp-options=hostname,hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input src-address=192.168.0.0/16
add chain=forward src-address=192.168.0.0/16
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
/ip route
add distance=1 dst-address=192.168.0.0/16 gateway=rb951_2
/routing ospf network
add area=backbone network=192.168.88.0/24
add area=backbone network=10.0.0.0/24
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes mode=unicast primary-ntp=46.8.40.31 secondary-ntp=62.76.96.4


 "Конфиг 12.0"

Код: Выделить всё

/interface bridge
add admin-mac=4C:5E:0C:22:FF:D1 auto-mac=no l2mtu=1598 name=bridge-local protocol-mode=rstp
add name=loopback
/interface ethernet
set 0 name=ether1-gateway
set 1 name=ether2-gateway speed=1Gbps
set 2 name=ether3-master-local
set 3 master-port=ether3-master-local name=ether4-slave-local
set 4 master-port=ether3-master-local name=ether5-slave-local
/ip pool
add name=dhcp ranges=192.168.12.10-192.168.12.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/interface ovpn-client
add auth=md5 cipher=aes256 connect-to=55.55.55.55 mac-address=02:DC:0F:83:5A:A2 name=rb951_1 password=123456 port=5555 profile=default-encryption user=rb951_1
/routing ospf instance
set [ find default=yes ] disabled=yes redistribute-connected=as-type-1 redistribute-other-ospf=as-type-1 router-id=10.255.255.3
/interface bridge port
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether3-master-local
/ip address
add address=192.168.12.1/24 comment=LAN interface=wlan1
add address=66.66.66.66/29 comment=WAN2 interface=ether2-gateway
add address=10.255.255.3/32 interface=loopback network=10.255.255.3
/ip dhcp-client
add comment="default configuration" interface=ether1-gateway
add default-route-distance=0 interface=ether2-gateway
/ip dhcp-server network
add address=192.168.12.0/24 comment="default configuration" dns-server=192.168.12.1 gateway=192.168.12.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.10.202,192.168.10.113,8.8.4.4
/ip firewall filter
add chain=input dst-address=192.168.0.0/16
add chain=forward dst-address=192.168.0.0/16
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add chain=input dst-address=192.168.0.0/16
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add chain=srcnat disabled=yes src-address=192.168.0.0/16
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether2-gateway
add action=masquerade chain=srcnat comment="default configuration" disabled=yes out-interface=ether1-gateway
/ip neighbor discovery
set ether1-gateway disabled=yes
set wlan1 disabled=yes
/ip route
add comment=INet distance=1 gateway=66.66.66.65
add distance=1 dst-address=192.168.0.0/16 gateway=ovpn-buhgalteria pref-src=192.168.12.1 scope=10
/ppp secret
add name=rb951_1 password=123456 profile=default-encryption service=ovpn
/routing ospf network
add area=backbone network=192.168.12.0/24
add area=backbone network=10.0.0.0/24
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system logging
set 1 action=echo
/system ntp client
set enabled=yes mode=unicast primary-ntp=46.188.15.35


 "конфиг 4.0"

Код: Выделить всё

/interface bridge
add l2mtu=1598 name=bridge2
add name=loopback protocol-mode=none
/ip pool
add name=dhcp ranges=192.168.4.2-192.168.4.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1
/ppp profile
set 1 use-encryption=required
/interface ovpn-client
add add-default-route=no auth=md5 certificate=none cipher=aes256 connect-to=55.55.55.55 disabled=no mac-address=02:ED:E0:33:C8:AF max-mtu=1500 mode=ip name=rb951_3 password=123456 port=5555 profile=default-encryption user=rb951_3
/routing ospf instance
set [ find default=yes ] redistribute-connected=as-type-1 redistribute-other-ospf=as-type-1 redistribute-static=as-type-1 router-id=10.255.255.6
/interface bridge nat
add chain=srcnat
/interface bridge port
add bridge=bridge2 disabled=yes interface=ether1
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
/ip address
add address=77.77.77.77/30 comment=WAN interface=ether1 network=77.77.77.75
add address=192.168.4.200/24 comment=LAN interface=ether2 network=192.168.4.0
add address=10.255.255.6/32 interface=loopback network=10.255.255.6
/ip dhcp-client
add dhcp-options=hostname,clientid interface=wlan1
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.4.0/24 gateway=192.168.4.200 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4,192.168.10.202
/ip firewall filter
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input disabled=yes in-interface=ether1
add chain=input src-address=10.0.0.0/24
add chain=forward src-address=10.0.0.0/24
add chain=forward src-address=192.168.0.0/16
add chain=input src-address=192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add chain=srcnat src-address=192.168.0.0/16
/ip route
add distance=1 gateway=77.77.77.76
add distance=1 dst-address=192.168.10.0/24 gateway=10.0.0.1
/ip upnp
set allow-disable-external-interface=no
/routing ospf interface
add interface=ovpn-mkurskaya network-type=nbma
/routing ospf network
add area=backbone network=10.0.0.0/24
add area=backbone network=192.168.4.0/24
/system leds
set 0 interface=wlan1


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну используйте RIP тогда. он проще значительно


Есть интересная задача и бюджет? http://mikrotik.site
xcom2002
Сообщения: 3
Зарегистрирован: 04 май 2014, 21:52

vqd писал(а):ну используйте RIP тогда. он проще значительно


Я тоже подумал в эту сторону, но все таки хотелось бы узнать в чем я ошибся


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А прошивка какая? Просто помнится на форуме разработчика активно мусолили тему проблем с ОСПФ на какой то прошивке


Есть интересная задача и бюджет? http://mikrotik.site
xcom2002
Сообщения: 3
Зарегистрирован: 04 май 2014, 21:52

vqd писал(а):А прошивка какая? Просто помнится на форуме разработчика активно мусолили тему проблем с ОСПФ на какой то прошивке

Я на картинке нарисовал в принципе, на одном 5.26, на другом 6.13 и еще два на 6.14


Ответить