Добрый день
Есть vps с 7.10.1
На нем есть ether1 с белым адресом
Есть две vrf main и support
Приходят куча впн и они помечены в разные интерфейс листы по vrf
Настроен также нат для выхода в сеть с этого белого адреса
Сидящие в vrf main нормально между собой маршрутизируются и ходят без проблем наружу
Вот проблема в том что те кто в vrf support только между собой маршрутизируются а наружу не ходят.
Маршруты для обоих vrf есть
/ip route add comment=main disabled=no distance=1 dst-address=0.0.0.0/0 gateway=адрес pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip route add comment=support disabled=no distance=1 dst-address=0.0.0.0/0 gateway=адрес pref-src="" routing-table=support scope=30 suppress-hw-offload=no target-scope=10
Пинги ходят с обоих vrf
[root@vps] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 107 118ms452us
1 8.8.8.8 56 107 115ms404us
sent=2 received=2 packet-loss=0% min-rtt=115ms404us avg-rtt=116ms928us
max-rtt=118ms452us
[root@vps] > ping 8.8.8.8 vrf=support
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 107 115ms519us
1 8.8.8.8 56 107 115ms493us
2 8.8.8.8 56 107 115ms397us
sent=3 received=3 packet-loss=0% min-rtt=115ms397us avg-rtt=115ms469us
max-rtt=115ms519us
/ip firewall nat add action=masquerade chain=srcnat comment=main !connection-bytes !connection-limit !connection-mark !connection-rate !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" !nth !out-bridge-port !out-bridge-port-list !out-interface out-interface-list=wan !packet-mark !packet-size !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address !src-address-list !src-address-type !src-mac-address !src-port !tcp-mss !time !tls-host !to-addresses !to-ports !ttl
Нат на все сделан , out-interface-list=wan
В этой группе wan /interface list member add disabled=no interface=ether1 list=wan сидит этот единственный от vps интерфейс
Чувствую где-то на поверхности проблема
vrf на одном интерфейсе
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Там где дефолтный маршрут во второй vrf - там в качестве шлюза адрес, который доступен через main?
Тогда там к адресу, как я понимаю, нужно @main добавить.
Тогда там к адресу, как я понимаю, нужно @main добавить.
Telegram: @thexvo
-
koprodig456
- Сообщения: 4
- Зарегистрирован: 12 апр 2023, 17:20
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
На самом деле он не убирает - в текстовом экспорте оно остается.
Но вот насколько оно работает - не понятно.
Хотя логика должна быть именно такая - если мы ище шлюз не в своей vrf, это надо указать явно, иначе ему взяться неоткуда.
Ещё scope на маршруте до гейтвея и target scope на дефолтном надо проверить.
Тут тоже все работает не так, как в 6ке, и абсолютно не интуитивно.
На дефолтном надо target-scope=30 ставить, если маршрут рекурсивный.
А вот занизить scope на рекурсивном уже не прокатывает.
В общем, как это ни прискорбно, но до сих пор роутинг в семерке работает местами очень странно.
А некоторыми местами и откровенно неправильно.
Но вот насколько оно работает - не понятно.
Хотя логика должна быть именно такая - если мы ище шлюз не в своей vrf, это надо указать явно, иначе ему взяться неоткуда.
Ещё scope на маршруте до гейтвея и target scope на дефолтном надо проверить.
Тут тоже все работает не так, как в 6ке, и абсолютно не интуитивно.
На дефолтном надо target-scope=30 ставить, если маршрут рекурсивный.
А вот занизить scope на рекурсивном уже не прокатывает.
В общем, как это ни прискорбно, но до сих пор роутинг в семерке работает местами очень странно.
А некоторыми местами и откровенно неправильно.
Telegram: @thexvo
-
koprodig456
- Сообщения: 4
- Зарегистрирован: 12 апр 2023, 17:20
Пока решил так
Поднял на этом впн между маршрутизаторами OSPF в отдельной зоне с авторизацией
на VPS включил редистрибьюцию статика , там соответсвенно пока руками пишу маршруты на нужно
/ip route add comment=143.166.147.101 disabled=no distance=1 dst-address=143.166.147.101/32 gateway=адрес pref-src="" routing-table=support scope=30 suppress-hw-offload=no target-scope=10
тут кстати @main так и не появился
потом пришлось мангл юзать
/ip firewall mangle add action=mark-connection chain=prerouting comment=10.61.10.18 !connection-bytes !connection-limit !connection-mark !connection-nat-state !connection-rate connection-state=new !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" new-connection-mark=supportcon !nth !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark !packet-size passthrough=no !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address src-address-list=support !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host !ttl
/ip firewall mangle add action=mark-routing chain=prerouting comment=10.61.10.18 !connection-bytes !connection-limit connection-mark=supportcon !connection-nat-state !connection-rate !connection-state !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface in-interface-list=wan !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" new-routing-mark=support !nth !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark !packet-size passthrough=yes !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address !src-address-list !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host !ttl
мне все нули туда заворачивать не надо
только конкретные ресурсы по адресам или сетями целиком
Поднял на этом впн между маршрутизаторами OSPF в отдельной зоне с авторизацией
на VPS включил редистрибьюцию статика , там соответсвенно пока руками пишу маршруты на нужно
/ip route add comment=143.166.147.101 disabled=no distance=1 dst-address=143.166.147.101/32 gateway=адрес pref-src="" routing-table=support scope=30 suppress-hw-offload=no target-scope=10
тут кстати @main так и не появился
потом пришлось мангл юзать
/ip firewall mangle add action=mark-connection chain=prerouting comment=10.61.10.18 !connection-bytes !connection-limit !connection-mark !connection-nat-state !connection-rate connection-state=new !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" new-connection-mark=supportcon !nth !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark !packet-size passthrough=no !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address src-address-list=support !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host !ttl
/ip firewall mangle add action=mark-routing chain=prerouting comment=10.61.10.18 !connection-bytes !connection-limit connection-mark=supportcon !connection-nat-state !connection-rate !connection-state !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface in-interface-list=wan !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" new-routing-mark=support !nth !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark !packet-size passthrough=yes !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address !src-address-list !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host !ttl
мне все нули туда заворачивать не надо
только конкретные ресурсы по адресам или сетями целиком
-
koprodig456
- Сообщения: 4
- Зарегистрирован: 12 апр 2023, 17:20
Теперь нарисовалась следующая проблема.
Те туннели что висят на основном vrf работают без проблем.
А те что в дополнительном имеют какие то явные проблемы с мту.Пинги ходят ,https нет. Изменение мту на wireguard решает проблему на некоторое время. И потом опять только ринги.
Те туннели что висят на основном vrf работают без проблем.
А те что в дополнительном имеют какие то явные проблемы с мту.Пинги ходят ,https нет. Изменение мту на wireguard решает проблему на некоторое время. И потом опять только ринги.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Может совпадение: над блокировками wireguard последние пару недель провадйеры эксперементируют.
Telegram: @thexvo