Добрый день, коллеги!
Столкнулся с проблемой поднятия туннеля GRE через туннель L2TP на микротике SXT.
По сути есть две площадки, основная с сервером и клиент которые расположены в отдельном технологическом VRF. Между ними трафик ходит через общедоступную LTE сеть. Для маршрутизации OSPF и офисной сети поднят L2TP туннель. Для соединения VRF клиента и VRF сервера хотел пробросить GRE туннель внутри L2TP туннеля на лупбеках. Но что-то туннель GRE не поднимается, лупбеки source и destination по OSPF доступны. Подскажите куда копать?
И вообще можно пробросить GRE внутри L2TP на микротике?
GRE через L2TP
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну вообще должно бы работать, почему нет.
MTU правильно задан, с учетом того, что оно внутри L2TP?
В firewall'ах на обеих машинах ничего не препятствует?
MTU правильно задан, с учетом того, что оно внутри L2TP?
В firewall'ах на обеих машинах ничего не препятствует?
Telegram: @thexvo
-
Alex.Petrov
- Сообщения: 7
- Зарегистрирован: 26 май 2021, 08:47
На Циске
Tunnel2 is up, line protocol is up
Hardware is Tunnel
Internet address is 172.31.0.1/30
MTU 9976 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel linestate evaluation up
Tunnel source 10.34.209.62, destination 10.34.214.188
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255, Fast tunneling enabled
Tunnel transport MTU 1426 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:04, output 02:00:49, output hang never
Last clearing of "show interface" counters 02:03:32
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
На микротике
[admin@MikroTik] > interface gre print
Flags: X - disabled, R - running
0 R name="gre-tunnel2" mtu=auto actual-mtu=1426 local-address=10.34.214.188
remote-address=10.34.209.62 keepalive=10s,10 dscp=inherit
clamp-tcp-mss=yes dont-fragment=no allow-fast-path=yes
Вроде одинаковы по 1426 бит
Tunnel2 is up, line protocol is up
Hardware is Tunnel
Internet address is 172.31.0.1/30
MTU 9976 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel linestate evaluation up
Tunnel source 10.34.209.62, destination 10.34.214.188
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255, Fast tunneling enabled
Tunnel transport MTU 1426 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:04, output 02:00:49, output hang never
Last clearing of "show interface" counters 02:03:32
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
На микротике
[admin@MikroTik] > interface gre print
Flags: X - disabled, R - running
0 R name="gre-tunnel2" mtu=auto actual-mtu=1426 local-address=10.34.214.188
remote-address=10.34.209.62 keepalive=10s,10 dscp=inherit
clamp-tcp-mss=yes dont-fragment=no allow-fast-path=yes
Вроде одинаковы по 1426 бит
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А L2TP с ipsec?
А то тогда там MTU 1372 должно быть.
И главное, как вы проверяете, поднимается или нет?
А то тогда там MTU 1372 должно быть.
И главное, как вы проверяете, поднимается или нет?
Telegram: @thexvo
-
Alex.Petrov
- Сообщения: 7
- Зарегистрирован: 26 май 2021, 08:47
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В общем я бы наверное для начала упростил конфигурацию - пока исключил из схемы VRF - просто повесил на оба конца туннеля по адресу и попытался добиться, чтобы трафик ходил между ними.
И вот вопрос все-таки по firewall'ам: на микротике в цепочке input разрешен GRE с loopback адреса циски?
Ещё недавно был прикол на каких-то версиях ROS, что gre трактовался, как invalid - можно временно попробовать отключить правило, сбрасывающее invalid.
Ну и что там на том конце, тоже посмотрите, чтобы ничего не препятствовало.
И вот вопрос все-таки по firewall'ам: на микротике в цепочке input разрешен GRE с loopback адреса циски?
Ещё недавно был прикол на каких-то версиях ROS, что gre трактовался, как invalid - можно временно попробовать отключить правило, сбрасывающее invalid.
Ну и что там на том конце, тоже посмотрите, чтобы ничего не препятствовало.
Telegram: @thexvo
-
Alex.Petrov
- Сообщения: 7
- Зарегистрирован: 26 май 2021, 08:47
Да, я так и сделал, попробовал без всяких VRF. Если вкладывать GRE туннель в GRE то все работает. А вот если транспортный L2TP то GRE туннель в нем не поднимается.xvo писал(а): ↑06 авг 2021, 13:38 В общем я бы наверное для начала упростил конфигурацию - пока исключил из схемы VRF - просто повесил на оба конца туннеля по адресу и попытался добиться, чтобы трафик ходил между ними.
И вот вопрос все-таки по firewall'ам: на микротике в цепочке input разрешен GRE с loopback адреса циски?
Ещё недавно был прикол на каких-то версиях ROS, что gre трактовался, как invalid - можно временно попробовать отключить правило, сбрасывающее invalid.
Ну и что там на том конце, тоже посмотрите, чтобы ничего не препятствовало.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Что-то больше нет идей.
Telegram: @thexvo