Корректная настройка Wireguard + OSPF

Обсуждение ПО и его настройки
Ответить
Atrp
Сообщения: 1
Зарегистрирован: 28 янв 2022, 12:22

Добрый день, коллеги.
Пытаюсь настроить корректно wiruguard + OSPF по приложенной схеме:
Изображение
Не могу понять, как настроить allowed-address. Если использовать один peer и настроить 0.0.0.0/0, всё корректно работает + корректно работает OSPF в статусе соседа: Full.
Если я настраиваю два peer, то при установке у обоих 0.0.0.0/0, т.к. wireguard не понимает куда какой ключ шифрования использовать и куда отсылать пакеты, соответственно не работает ничего.
Если у одного пира выставить allowed-address 172.16.17.216/28, у другого 172.16.17.217/28, то они друга друга пингуют, но OSPF не поднимается. Статус init. На сетевую связность не грешу, т.к. и EOIP поднимается корректно.

Как сделать, чтобы OSPF корректно работал в данном конфиге?

P.S. Если поверх WG повесить EOIP тоннели и в них запустить OSPF, то всё корректно, но хочу избавиться от EOIP. Само собой, что на всех роутерах Firewall выключен.


slesru
Сообщения: 2
Зарегистрирован: 01 фев 2022, 15:08

Имею те же вилы.
https://forum.mikrotik.com/viewtopic.php?t=182418
в 7.2rc2 вроде что-то поправили с ospf и nbma, якобы теперь hellо шлется при приоритете 0, еще б я помнил какой он по умолчанию, пока руки проверить не дошли.


slesru
Сообщения: 2
Зарегистрирован: 01 фев 2022, 15:08

7.2rc3 работает с ptmp, как-то так:

/routing ospf interface-template
add area=ospf-area-1 networks=192.168.89.0/24 priority=1 type=ptmp
/routing ospf static-neighbor
add address=192.168.89.1%wireguard1 area=ospf-area-1 poll-interval=5s


Rengaboy
Сообщения: 1
Зарегистрирован: 09 май 2022, 01:06

Мне помогло добавление в allowed-address мультикаст адресов ospf, 224.0.0.5/32 и 224.0.1.1/32


mroot
Сообщения: 2
Зарегистрирован: 18 май 2022, 12:19

Rengaboy писал(а): 09 май 2022, 01:12 Мне помогло добавление в allowed-address мультикаст адресов ospf, 224.0.0.5/32 и 224.0.1.1/32
Подскажите где именно это добавить ?


mroot
Сообщения: 2
Зарегистрирован: 18 май 2022, 12:19

Разобрался, спасибо. работает


Аватара пользователя
Barvinok
Сообщения: 104
Зарегистрирован: 28 фев 2012, 23:21

Rengaboy писал(а): 09 май 2022, 01:12 Мне помогло добавление в allowed-address мультикаст адресов ospf, 224.0.0.5/32 и 224.0.1.1/32
Так это ж надо в каждый Peer прописывать. А если пиров много, WG потом разберётся, что куда отправлять?
По моему опыту, если в разные пиры разрешить (allowed-address) одинаковые подсети - все кроме одного маршрута перестают работать.
Люди пишут, что единственный способ избежать создания отдельно интерфейса WG на каждое подключение - установить для интерфейсов WG на всех маршрутизаторах значение "nbma" и создать статических соседей (<IP-адрес удаленного маршрутизатора>% <имя интерфейса>) для каждого узла.
Вот только я пока не пойму, как прописать <IP-адрес удаленного маршрутизатора>% <имя интерфейса>, если интерфейс один. Пиры же не являются интерфейсами и их так не пропишешь...


Ответить