Страница 1 из 1
Не работает сеть через EoIP
Добавлено: 23 сен 2016, 20:59
Cheyenne
Всем привет!
Помогите пожалуйста решить проблему. Поднял Cloud Hosted Router (CHR)(RouterOS) на Hyper-V. 2 CHR соединил вируальныи коммутаторами между собой и с хостами на винде. Настроил EoIP. Он работает, но не работает сетка между компами. Не могу понять почему.
SW1 - виртуальный коммутатор Hyper-V для соединения CHR интерфейсов ether1.
SW2, SW3 - виртуальный коммутатор Hyper-V для соединения CHR интерфейсов ether2 и витруальной машины на винде.
ether1 - внешний интерфейс CHR.
ether2 - внутренний интерфейс CHR.
WinVRT1-2 - вируальный компьютер под управлением Windows.
CHR1 ether1 - 10.10.10.2/24 (без шлюза)
CHR2 ether1 - 10.10.10.3/24 (без шлюза)
CHR1 ether2 - 192.168.2.2/24 (без шлюза)
CHR2 ether2 - 192.168.2.3/24 (без шлюза)
WinVRT1 - 192.168.2.20/24 (без шлюза) 00:15:5D:FE:03:08
WinVRT2 - 192.168.2.30/24 (без шлюза) 00:15:5D:FE:03:0E
После установления тунеля EoIP с обоих роутеров пингуются интерфейсы ether1 и ether2 с обоих роутеров (CHR), но не пингуются компьютеры. С обоих компьютеров не пингуются ни ротуеры ни другие компьютеры (пинги разрешены в брандмауэре на компах и проверена работоспособность). Маки обоих компов светятся в ether2 на роутерах.
Настройки первого роутера (CHR1)
[root@MikroTik] > export
# sep/23/2016 12:20:45 by RouterOS 6.36.3
# software id =
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ether2
/interface eoip
add allow-fast-path=no !keepalive local-address=10.10.10.2 mac-address=\
02:00:40:1A:FA:DC name=eoip-tunnel1 remote-address=10.10.10.3 tunnel-id=0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.10.2/24 interface=ether1 network=10.10.10.0
add address=192.168.2.2/24 interface=ether2 network=192.168.2.0
/ip dhcp-client
add disabled=no interface=ether1
[root@MikroTik] > int eoip pr
Flags: X - disabled, R - running
0 R name="eoip-tunnel1" mtu=auto actual-mtu=1458 l2mtu=65535
mac-address=02:00:40:1A:FA:DC arp=enabled arp-timeout=auto
local-address=10.10.10.2 remote-address=10.10.10.3 tunnel-id=0
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
allow-fast-path=no
[root@MikroTik] > int br pr
Flags: X - disabled, R - running
0 R name="bridge1" mtu=auto actual-mtu=1458 l2mtu=65535 arp=enabled
arp-timeout=auto mac-address=02:00:40:1A:FA:DC protocol-mode=rstp
priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00
max-message-age=20s forward-delay=15s transmit-hold-count=6
ageing-time=5m
[root@MikroTik] > int br port pr
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether2 bridge1 0x80 10 none
1 eoip-tunnel1 bridge1 0x80 10 none
[root@MikroTik] > int br ho pr
Flags: L - local, E - external-fdb
BRIDGE MAC-ADDRESS ON-INTERFACE AGE
bridge1 00:15:5D:FE:03:05 ether2 7s
L bridge1 00:15:5D:FE:03:07 ether2 0s
bridge1 00:15:5D:FE:03:08 ether2 8s
bridge1 00:15:5D:FE:03:09 eoip-tunnel1 2s
bridge1 00:15:5D:FE:03:0E eoip-tunnel1 6s
L bridge1 02:00:40:1A:FA:DC eoip-tunnel1 0s
bridge1 02:31:22:EE:06:C6 eoip-tunnel1 24s
[root@MikroTik] > ip addr pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 10.10.10.2/24 10.10.10.0 ether1
1 192.168.2.2/24 192.168.2.0 ether2
[root@MikroTik] > ip ro pr
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADC 10.10.10.0/24 10.10.10.2 ether1 0
1 ADC 192.168.2.0/24 192.168.2.2 bridge1 0
Настройки второго роутера (CHR2)
[root@MikroTik] > export
# sep/23/2016 12:01:12 by RouterOS 6.36.3
# software id =
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ether2
/interface eoip
add allow-fast-path=no !keepalive local-address=10.10.10.3 mac-address=\
02:31:22:EE:06:C6 name=eoip-tunnel1 remote-address=10.10.10.2 tunnel-id=0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.10.3/24 interface=ether1 network=10.10.10.0
add address=192.168.2.3/24 interface=ether2 network=192.168.2.0
/ip dhcp-client
add disabled=no interface=ether1
/ip route
add distance=1 gateway=bridge1
[root@MikroTik] > int eoip pr
Flags: X - disabled, R - running
0 R name="eoip-tunnel1" mtu=auto actual-mtu=1458 l2mtu=65535
mac-address=02:31:22:EE:06:C6 arp=enabled arp-timeout=auto
local-address=10.10.10.3 remote-address=10.10.10.2 tunnel-id=0
dscp=inherit clamp-tcp-mss=yes dont-fragment=no allow-fast-path=no
[root@MikroTik] > int br pr
Flags: X - disabled, R - running
0 R name="bridge1" mtu=auto actual-mtu=1458 l2mtu=65535 arp=enabled
arp-timeout=auto mac-address=02:31:22:EE:06:C6 protocol-mode=rstp
priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00
max-message-age=20s forward-delay=15s transmit-hold-count=6
ageing-time=5m
[root@MikroTik] > int br port pr
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether2 bridge1 0x80 10 none
1 eoip-tunnel1 bridge1 0x80 10 none
[root@MikroTik] > int br ho pr
Flags: L - local, E - external-fdb
BRIDGE MAC-ADDRESS ON-INTERFACE AGE
bridge1 00:15:5D:FE:03:05 eoip-tunnel1 2m49s
bridge1 00:15:5D:FE:03:08 eoip-tunnel1 3m20s
bridge1 00:15:5D:FE:03:09 ether2 15s
bridge1 00:15:5D:FE:03:0E ether2 3m10s
L bridge1 00:15:5D:FE:03:10 ether2 0s
bridge1 02:00:40:1A:FA:DC eoip-tunnel1 0s
L bridge1 02:31:22:EE:06:C6 eoip-tunnel1 0s
[root@MikroTik] > ip addr pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 10.10.10.3/24 10.10.10.0 ether1
1 192.168.2.3/24 192.168.2.0 ether2
[root@MikroTik] > ip ro pr
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADC 10.10.10.0/24 10.10.10.3 ether1 0
1 ADC 192.168.2.0/24 192.168.2.3 bridge1 0
Re: Не работает сеть через EoIP
Добавлено: 23 сен 2016, 21:49
podarok66
Насколько я понял, вы строите сферического коня в вакууме?
Это как?
Код: Выделить всё
/interface ethernet
set [ find default-name=ether1 ] name=ether2
а потом вдруг
Код: Выделить всё
/ip address
add address=10.10.10.2/24 interface=ether1 network=10.10.10.0
add address=192.168.2.2/24 interface=ether2 network=192.168.2.0
На втором такая же ерунда. Вы уж там решите, как имя вашего интерфейса
Re: Не работает сеть через EoIP
Добавлено: 24 сен 2016, 10:43
Cheyenne
В начале это просто вывод команды export. На самом деле я не переименовывал интерфейсы. Они как были по-умолчанию ether1 и ether2 так и остались. Я им просто назначил IP адреса.
Re: Не работает сеть через EoIP
Добавлено: 24 сен 2016, 11:23
podarok66
Как бы не очень понятный вывод получается. Вот это
Код: Выделить всё
/interface ethernet
set [ find default-name=ether1 ] name=ether2
по-русски прочитать можно приблизительно так:
Интерфейс эзернет изменяем найденому с именем по-умолчанию ether1 имя на ether2.
Вот например у меня это как выглядит на одном из Тиков:
Код: Выделить всё
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] name=ether5-slave-local
Может это особенности отображения, но я хотел бы быть уверенным, что это не выверты бездумных настроек и не глюки виртуализации. И потом, еще раз, вы просто экспериментируете ради эксперимента или есть какие-то цели? Зачем вся эта борода на виртах?
Re: Не работает сеть через EoIP
Добавлено: 25 сен 2016, 12:11
Cheyenne
Цель - соединить два филиала и в канал пулять тегированные вланы. Нужно поднять EoIP с IPSec. Железки уже заказаны, ждем пока приедут. Пока едут - хочется потренироваться с настройками. До этого с микротами никогда не работал.
и так, на CHR делаю sys reset-conf
далее:
user add name=root password=1234 group=full
quit
(логинюсь под root)
user remove admin
ip address add address 10.10.10.2/24 interface=ether1
ip address add address 192.168.2.2/24 interface=ether2
interface eoip add allow-fast-path=no keepalive=10 local-address=10.10.10.2 name=eoip-tunnel1 remote-address=10.10.10.3 tunnel-id=0
int bridge add name=bridge1
interface bridge port add bridge=bridge1 interface=ether2
interface bridge port add bridge=bridge1 interface=eoip-tunnel1
После этого как уже говорил EoIP поднимается и с обоих виртуальных роутеров пингуются адреса интерфейсов. Маки обоих компов видны в bridge1 на интерфейсе ether2, но пинги никуда не ходят, на сетевом адаптере Windows принятых пакетов 0. Может какие то правила для файрвола на роутере (CHR) надо создавать?
Re: Не работает сеть через EoIP
Добавлено: 25 сен 2016, 12:30
podarok66
Ну вы поймите, вы просто выпиливаете кусочек конфигурации, пытаетесь его принять за целую конструкцию и сделать на основе этого выводы. Давайте так, настройте сначала соединение с сетью и локалки (то есть назначение адресов, назначение пулов и дхцп-серверов, маршрутизацию, NAT - все, что вам придется делать на железке сначала. ) Вот когда это все заработает как надо, поверх данной конструкции уже накладывайте туннели. Например у вас я не вижу маршрута из сети в локалку. Да и НАТА тоже нет наверняка.
Вот примерный вид роутов уверенно работающего туннеля (там правда еще и транспортный ovpn присутствует)
Код: Выделить всё
ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 10.7.8.30 1
1 ADC 10.7.8.0/23 10.7.9.137 bridge1 0
2 ADC 10.10.15.0/24 10.10.15.2 ovpn-out1 0
3 ADC 192.168.100.0/24 192.168.100.193 bridge-local 0
Re: Не работает сеть через EoIP
Добавлено: 25 сен 2016, 13:01
Cheyenne
NAT, DHCP и все остальное будут не на микротах. От микротов надо только L2 канал между филиалом и центральным офисом.
Re: Не работает сеть через EoIP
Добавлено: 25 сен 2016, 14:52
Cheyenne
Суть ясна, попробую сделать как Вы сказали))