The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ospf quagga mikrotik"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"ospf quagga mikrotik"  +/
Сообщение от suharik71 email(ok) on 24-Мрт-15, 14:01 
Добрый день друзья. Решил попробовать соорудить сарай с динамической маршрутизацией, но сарай не стоится. Суть такая:
три хоста   1) Mikrotik CCR  2) Mikrotik RB   3) Centos (quagga)
Между всеми прокинут IPSEC в транспортном режиме. Внутри IPSEC поднят GRE. Хосты друг друга видят пингуют SSH работает. Делая на статических роутах - пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и тут прилип.

Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились. А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello до него доходят. И он отвечает, о чем свидетельствует дамп. А вот из туннеля на RB и CCR ни чего не выходит, о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения дропа трафика. Не помогло. Куда еще рыть - не понятно.
Подсобите кто чем сможет.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ospf quagga mikrotik"  +/
Сообщение от vigogne (ok) on 24-Мрт-15, 15:01 
>[оверквотинг удален]
> друг друга видят пингуют SSH работает. Делая на статических роутах -
> пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и
> тут прилип.
> Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились.
> А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello
> до него доходят. И он отвечает, о чем свидетельствует дамп. А
> вот из туннеля на RB и CCR ни чего не выходит,
> о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения
> дропа трафика. Не помогло. Куда еще рыть - не понятно.
> Подсобите кто чем сможет.

Смотри в сторону MTU/MSS...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ospf quagga mikrotik"  +/
Сообщение от suharik71 email(ok) on 24-Мрт-15, 15:43 
>[оверквотинг удален]
>> пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и
>> тут прилип.
>> Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились.
>> А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello
>> до него доходят. И он отвечает, о чем свидетельствует дамп. А
>> вот из туннеля на RB и CCR ни чего не выходит,
>> о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения
>> дропа трафика. Не помогло. Куда еще рыть - не понятно.
>> Подсобите кто чем сможет.
> Смотри в сторону MTU/MSS...

Смотрю. Сейчас буду пробовать до подле рассчитать какое оно должно быть.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ospf quagga mikrotik"  +/
Сообщение от suharik71 email(ok) on 24-Мрт-15, 20:07 

>> Смотри в сторону MTU/MSS...

Еще предложения будут? У туннеля MTU 1476 с двух сторон. В одну сторону идут в другую нет.
Сея концепция больше эксперементальная нежели для продакшена. Но сам факт интересен.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ospf quagga mikrotik"  +/
Сообщение от vigogne (ok) on 24-Мрт-15, 21:16 
>>> Смотри в сторону MTU/MSS...
> Еще предложения будут? У туннеля MTU 1476 с двух сторон. В одну
> сторону идут в другую нет.
> Сея концепция больше эксперементальная нежели для продакшена. Но сам факт интересен.

Рекомендации построения туннельных интерфейсов
Исходя из того, что наиболее "тяжелый" вариант - это одновременное использование GRE и IPsec, рекомендации будут следующие:
- PMTUD позволяет установить на GRE интерфейсе оптимальное значение MTU и включается на туннельном интерфейсе командой tunnel path-mtu-discovery
- Обеспечьте нормальную работу PMTUD, при этом на обоих целевых хостах должна успешно выполняться mturoute.exe
- Также рекомендуется одновременно использовать и команду ip mtu 1400. В этом случае ip mtu будет обеспечивать пространство для GRE + IPSec, в случае же более низких значениях MTU по пути, IP MTU бует подкорректировано динамически. Значение 1400 рекомендовано, т.к. оно покрывает большинство возможных комбинаций GRE + IPSec.
- Следует использовать ip tcp adjust-mss 1360 на туннельном интерфейсе. Это позволит маршрутизатору уменьшить значение TCP MSS в TCP SYN Packet. Что позволить двух конечным хостам генерировать достаточно малые пакеты. (1360 = 1400 - 20(TCP) - 20 (IP))

Отсюда: http://ciscomaster.ru/content/ip-mtu-i-tunneli-ipsec-i-gre

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ospf quagga mikrotik"  +/
Сообщение от suharik71 email(ok) on 24-Мрт-15, 21:59 
Благодарю за хороший ответ. Проверю. Отпишусь
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ospf quagga mikrotik"  +/
Сообщение от suharik71 email(ok) on 25-Мрт-15, 09:54 
> Благодарю за хороший ответ. Проверю. Отпишусь

Проверил. Отписываюсь.
После замены MTU на интерфейчас GRE на 1400 изначально результата не было. Нарвался на еще одну статью к которой было сказано что если TTL на концах разное ни чего арбайтен не будет. Забубенил равное 64 со всех сторон. Изменение MSS ни как на работу не влиял - посему я плюнул на него. И ко всему прочему в QUAGGA в настройках интерфейсов добил параметр ip ospf mtu-ignor. После чего начало шуршать и в итоге заработало.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor