Всем доброго времени суток.
Прошу помочь в поиске проблемы.
Есть два роутера microtik RB951Ui, каждый смотрит в интернет с белым ip, за каждым роутером nat 10.48.157.0/26
Необходимо, чтобы все пакеты, которые залетают из локалки на одном роутере в порт №3 , вылетали из порта локалки №3 роутера на другом конце туннеля.
То есть необходимо объединить в отдельный vlan порты 3-3.
Для этого натянул EoIP с ipsec, после создал vlan для интерфейса eoip и vlan для порта №3, далее объединил в бридж; то же самое сделал на микротике с другой стороны.
ID vlan одинаковый.
Так же необходимо сделать с 4 и 5 портами, то есть еще два vlan, но и с одним не работает, поэтому пока не усложняю
Участники vlan друг друга не видят. Без vlan все прекрасно видят друг друга.
Vlan сквозь EoIP
-
- Сообщения: 12
- Зарегистрирован: 13 дек 2017, 10:17
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Я правильно понял нюанс, что по EoIP всё заработало, а вот через виланы нет?
2) Если по EoIP работает, и у Вас отдельные порты используются (то есть с 3-го порта на 3-й порт,
с 4-го порта на 4-й порт и так далее), зачем в такой схеме ещё и виланы внутри EoIP?
3) Ну и совет: не пробовали слегка иначе сделать задачу, не делать один EoIP и 3 вилана через него,
а сделать 3 отдельных EoIP и каждый для своей сети/порта?
Ну и хотелось бы именно скринов с винбокса, как Вы там делали виланы в
совокупе с EoIP, чисто интересно уже. (хотя и конфигурация тоже будет не лишним).
P.S.
А анализ ошибок и почему не работали делали? Торчем на другом роутере смотрели,
виланы (теги) добегали(приходили) на другой стороне всё же?
2) Если по EoIP работает, и у Вас отдельные порты используются (то есть с 3-го порта на 3-й порт,
с 4-го порта на 4-й порт и так далее), зачем в такой схеме ещё и виланы внутри EoIP?
3) Ну и совет: не пробовали слегка иначе сделать задачу, не делать один EoIP и 3 вилана через него,
а сделать 3 отдельных EoIP и каждый для своей сети/порта?
Ну и хотелось бы именно скринов с винбокса, как Вы там делали виланы в
совокупе с EoIP, чисто интересно уже. (хотя и конфигурация тоже будет не лишним).
P.S.
А анализ ошибок и почему не работали делали? Торчем на другом роутере смотрели,
виланы (теги) добегали(приходили) на другой стороне всё же?
-
- Сообщения: 12
- Зарегистрирован: 13 дек 2017, 10:17
1) Все верно, без vlan весь трафик ходит прозрачно со всех портов, как и должно, будь-то в одном свиче.
2) В этом и задача, чтобы, грубо создать пары изолированных портов. Чтобы трафик приходящий в третий порт R1, выходил из 3-его порта R2, при других поднятых портах.
3) Это варинт, буду пробовать, но думаю, что парвильнее vlan настраивать.
Как получу доступ к оборудованию, скину скрины
Сейчас только знакомлюсь с microtik, поэтому средства диагностики не все использую.
На быструю руку топологию накидал:
https://drive.google.com/file/d/1JG0N_Y ... sp=sharing
2) В этом и задача, чтобы, грубо создать пары изолированных портов. Чтобы трафик приходящий в третий порт R1, выходил из 3-его порта R2, при других поднятых портах.
3) Это варинт, буду пробовать, но думаю, что парвильнее vlan настраивать.
Как получу доступ к оборудованию, скину скрины
Сейчас только знакомлюсь с microtik, поэтому средства диагностики не все использую.
На быструю руку топологию накидал:
https://drive.google.com/file/d/1JG0N_Y ... sp=sharing
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я не зря вам посоветовал слегка просто изменить само решение задачи,
ибо у меня слегка иная схема, но тоже не простая, но сделана и работает уже с полгода.
1) между домом и работай у меня два канала (где трафик естественно идёт как локальный)
2) эти каналы подняты по GRE туннелям (с приоритетом конечно, одно GRE - там почти 100мбит, второй GRE - чуть поменьше)
3) уже поверх этих каналов настроена маршрутизация локальных сетей
4) потом поверх маршрутизации я поднял 4-е разные(или отдельные) EoIP туннеля
5) каждый EoIP туннель = это отдельный рабочий канал(провайдер) работы.
6) ну а уже на домашнем роутере я это вывел (каждый EoIP канал) в обычный бридж/вилан
и дальше уже как хочу, так и использую сразу или на своём микротике, или терминирую куда-то.
Короче попробуйте не делать связку EoIP + VLAN , а просто сразу несколько EoIP = так будет проще же.
И в моём способе, скажем при падении хоть одного EoIP (падения тут я имею ввиду и логические какие-то моменты)
сразу это можно увидеть, по вилану Вы это не увидите.
ибо у меня слегка иная схема, но тоже не простая, но сделана и работает уже с полгода.
1) между домом и работай у меня два канала (где трафик естественно идёт как локальный)
2) эти каналы подняты по GRE туннелям (с приоритетом конечно, одно GRE - там почти 100мбит, второй GRE - чуть поменьше)
3) уже поверх этих каналов настроена маршрутизация локальных сетей
4) потом поверх маршрутизации я поднял 4-е разные(или отдельные) EoIP туннеля
5) каждый EoIP туннель = это отдельный рабочий канал(провайдер) работы.
6) ну а уже на домашнем роутере я это вывел (каждый EoIP канал) в обычный бридж/вилан
и дальше уже как хочу, так и использую сразу или на своём микротике, или терминирую куда-то.
Короче попробуйте не делать связку EoIP + VLAN , а просто сразу несколько EoIP = так будет проще же.
И в моём способе, скажем при падении хоть одного EoIP (падения тут я имею ввиду и логические какие-то моменты)
сразу это можно увидеть, по вилану Вы это не увидите.
-
- Сообщения: 12
- Зарегистрирован: 13 дек 2017, 10:17
Благодарю за то, что делитесь опытом.
То есть получается, что bridge1=eoip-tun1+ether2; bridge2=eoip-tun2+ether3 и т.д?
Так же все туннели будут висеть на одном провайдере, поэтому eoip-tun будут отличаться только именем и id?
То есть получается, что bridge1=eoip-tun1+ether2; bridge2=eoip-tun2+ether3 и т.д?
Так же все туннели будут висеть на одном провайдере, поэтому eoip-tun будут отличаться только именем и id?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
ronik010 писал(а):Благодарю за то, что делитесь опытом.
Ну а как же без этого, я всё сам постигал, а учить, делиться и самому совершенствоваться надо!
ronik010 писал(а):То есть получается, что bridge1=eoip-tun1+ether2; bridge2=eoip-tun2+ether3 и т.д?
Да, примерно так....
ronik010 писал(а):Так же все туннели будут висеть на одном провайдере, поэтому eoip-tun будут отличаться только именем и id?
Единственно совет ещё дам, при создании EoIP, там будет один и тот же МАК подставляться, сделайте его
у каждого свой уникальный....
И при создания бриджа, сначала в бридж добавляйте ТОЛЬКО порт физический и после этого только EoIP
(это надо чтобы МАК бриджа был уникальный и бридж берёт себе мак первого устройства добавленного в него)
Хотя если Вы сделаете у EoIP маки уникальными, то второй совет как бы и не нужен. Я слегка по-началу у себя
мучался, потом сделал как я описал и я вижу каждый мак и соответственно каждый туннель!
-
- Сообщения: 12
- Зарегистрирован: 13 дек 2017, 10:17
Благодарю.
Да, да про маки читал...
Буду пробовать, по результатам отпишусь.
Да, да про маки читал...
Буду пробовать, по результатам отпишусь.
-
- Сообщения: 12
- Зарегистрирован: 13 дек 2017, 10:17
Короткий вопрос: можно ли между одной парой белых ip натягивать несколько eoip туннелей?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
ronik010 писал(а):Короткий вопрос: можно ли между одной парой белых ip натягивать несколько eoip туннелей?
наверно на 98% - ДА
У меня EoIP идут (натянуты) поверх уже "серого" туннеля (адресации). Но в EoIP (в каждом) указаны адресаца одинаковые,
у них разница лишь в - это ID туннеля и естественно я сделал разные МАКи(как я и писал).
Да и формально, мой туннель - это канал ...а в него я записал 4 EoIP = так что думаю да..ещё раз.
-
- Сообщения: 12
- Зарегистрирован: 13 дек 2017, 10:17
Ну да, меняю id tunnel, но туннель не поднимается.
Я же правильно понимаю, что один из показателей успешного соединения в туннеле, это в таблице bridge-hosts наличие mac-address устройства с противоположного конца? Локальные маки с "L", пришедшие с пустым полем.
У Вас туннели eoip без ipsec?
Я же правильно понимаю, что один из показателей успешного соединения в туннеле, это в таблице bridge-hosts наличие mac-address устройства с противоположного конца? Локальные маки с "L", пришедшие с пустым полем.
У Вас туннели eoip без ipsec?