Перейти до

Обмен маршрутами между NAS


Рекомендованные сообщения

Прошу помощи, камрады

 

Ситуация такова:

Есть много NAS-ов на базе зоопарка, от routeros до линуха и разных извращений.

Но сейчас о первых, на базе RouterOS. В свою очередь NAT - это сервачок, на том же нелюбимом RouterOS, который тупо натит и роутит.

 

На NAS-ах: авторизация по PPPoE, обычный роутинг, без NATа, NAS не имеет дефолт роута, абоны маркируются mangle-ом и роутятся на NAT, а дальше в интернеты.

Абонент с деньгами получает всегда один и тот же серый/белый IP, на NATе статик роуты на подсеть (для каждого NASа своя подсеть), всё в порядке.

Абонент без денег получает КАЖДЫЙ РАЗ новый серый адрес из подсети с маской /21, а NAT уже в душе не е*ёт, какой IP на какой NAS роутить, вот здесь пи*дец и наступает.

Т.е. сейчас абон получил IP 172.30.1.1 на одном NASе, через час ребутнул свою железку, получил тут же IP 172.30.123.123, а 172.30.1.1 например, получил уже совсем другой абон, на совсем другом NASе. Итого, эдакая динамика.

 

Сейчас решил через задницу (как по мне), но оно работает.

Каждый NAS все ноумани IP роутит по отдельному маршруту на NAT, у каждого NASа свой влан, своя подсеточка для обмена с NATом, в свою очередь NAT добавляет в отдельный address list все src которые пришли с каждого влана, а обратный трафик исходя dst засылает на нужный NAS. Сами address list-ы динамические, т.е. новая запись появляется там только тогда, когда абон без денег пытается куда-то ломиться. Таймаут 30сек (или около того) и всё.

Повторюсь, в принципе, всё работает, но через ж#пу. Если запросов от абона не было - то NAT снова же в душе не е*ёт, где тот абон и с каким он ипом сейчас.

 

ЗАЧЕМ ЭТО НУЖНО:

Чтобы дать возможность абонам без денег зайти в личный кабинет, пополнить счёт через приватики и прочую фигню, чтобы сайтик компании был доступен и прочие whitelist.

 

Что хочется:

Чтобы NASы волшебным образом обменивались с NATом маршрутами, чтобы NAT знал от NASa какие на нём сейчас абоны с ипами из диапазона /21.

 

Что подскажете?

Ссылка на сообщение
Поделиться на других сайтах

пока сделал RIP+Filters, как работает - устраивает.

Большое спасибо за советы.

Если кто в теме - подскажите как на оспф это реализуется

Ссылка на сообщение
Поделиться на других сайтах

Уйти от микротов. Смотрите в сторону акселя. Там на Л4 левеле можно абонов заворачивать куда угодно(по ридеректу порта). Это архиудобно. Абону вываливает его же ИП в любом случае, кроме случая, когда абон неизвестен(только тогда -гостевой). 

И да. ОСПФ - зло, т.к. линкстейт. Так что либо иБГП, либо РИП.2.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, Dimkers сказал:

ОСПФ - зло, т.к. линкстейт

проблема не в том что линкстейт. проблема - в том, что он имеет свойство терять роуты (то ли дропы пакетов, то ли еще какая причина), и нет никаких механизмов синхронизации таблиц маршрутов узлов. т.е. потерялся маршрут - и с концами...

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, NiTr0 сказал:

проблема не в том что линкстейт. проблема - в том, что он имеет свойство терять роуты (то ли дропы пакетов, то ли еще какая причина), и нет никаких механизмов синхронизации таблиц маршрутов узлов. т.е. потерялся маршрут - и с концами...

теряет роуты на моей памяти только квагга и микротики (думаю что там тоже квагга)

вообще оспф не плох, но точно не для кучи \32 очень часто меняющихся

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, NiTr0 сказал:

проблема не в том что линкстейт.

и в этом тоже. Куда там апдейты(и нет только) летают при любом чихе? На мультикаст? :)

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Dimkers сказал:

и в этом тоже. Куда там апдейты(и нет только) летают при любом чихе? На мультикаст? :)

у оспф нет апдейтов (до OSPFv3), есть лса флуд

и там может быть юникаст, мультик там что бы соседство динамическое было

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, l1ght сказал:

теряет роуты на моей памяти только квагга и микротики (думаю что там тоже квагга)

птичка редко, но тоже теряет.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, l1ght сказал:

теряет роуты на моей памяти только квагга и микротики (думаю что там тоже квагга)

Квагга перестает терять маршруты после минимальной настройки.

https://forum.nag.ru/index.php?/topic/119373-quagga-zebra/&tab=comments#comment-1493007

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Kiano сказал:

у рип тоже может быть юникаст, оказывается.

а как через ibgp тогда?

что "как?" ?

бгп тоже умеет в юникаст\мультикаст

Відредаговано l1ght
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

спасибо всем, решение - через RIP. Понял, почему не сработало раньше и забил на эту тему - фильтровался мультикаст на уровне провайдера-транспорта, нихера не работало, вот и забил. В этот раз вник, вкурил, что это работает и по юникасту, теперь всё ок.

 

Для будущего "поколения" или для других юзернеймов, кому будет эта идея интересна.

На базе микротика это решил так:

1) На главном роутере, который будет получать маршруты от других, Routing -> RIP, добавляем в Interface новую запись.

Interface: тот интерфейс, на котором будем слушать инфу о маршрутах с других роутеров

Receive/Send: v2 (юзаем вторую версию протокола)

Authentication: none (не буду вдаваться в опции авторизации, кому интересно - разберется сам)

Passive - ставим галочку, т.к. этот роутер будет только слушать маршруты;

Neighbours - здесь добавляем ипы роутеров, с которых будем слушать маршруты;

2) На остальных роутерах, которые будут отправлять инфу о маршрутах, Routing -> RIP, добавляем в Interface новую запись.

Всё тоже самое, что и на главном, кроме галочки Passive, она не нужна.

На той же вкладке правее RIP Settings - здесь вверху never, т.к. нам не нужно ничего делать с дефолтным маршрутом

Ниже указываем какие маршруты будем отправлять (статические, оспф, бгп, кому что нужно, мне например - connected нужны были)

Далее идем в Neighbours, добавляем запись с ипом, куда будем слать инфу о маршрутах. Это как оказалось, ключевой момент, который определяет, что инфу нужно юникастом слать на определенный адрес (routeros wiki).

Теперь самое интересное. Если не задать что конкретно, то роутер будет отдавать инфу о всех подряд своих маршрутах, зачастую это нафиг не нужно, потому идем в RIP->Filters.

Добавляем новое правило, в chain указываем rip-out, а в action указываем reject. Это правило должно быть в итоге в самом конце, по окончанию настройки.

Снова добавляем правило, где в chain rip-out, prefix - указываем маску подсети для маршрутов, которые будем отправлять, ниже - длину маски, (можно указать диапазон, например 16-32, кому что нужно). В action - accept. Напомню, первое правило что мы создали должно быть последним в списке.

Такой подход мне понравился больше, чем фильтровать на входе всё подряд, а роутеры будут отправлять всё подряд. Лучше отправлять то, что полезно, а на входе вообще не фильтровать. Но это уже тонкости настройки.

 

Собственно всё. Описал своими словами, по памяти, для "чайников", иногда это нужно для общего понимания картины.

Відредаговано Kiano
  • Like 3
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Кузьменко.
      Куплю, можна на вінчестері, може хтось перейшов з Мікротіка...
    • Від Кузьменко.
      Бажаю здоров'я!
      Може є вже в кого живі відгуки про дане обладнання.
      Скільки сесій може тримати, чи працює вже адекватно на ROS7...
      Як в порівнянні з 1036?
    • Від wildcore
      WildcoreDMS - Инструмент для мониторинга, уведомлений и менеджмента устройств.
       
      Основная идея - разгрузить инженеров/админов, дать возможность монтажнику провести диагностику в поле, а оператору сориентироваться в проблеме, этим сократить время реакции..
       
      Инструмент чем то напоминает ламповый swtoolz и pon monitor(посмотреть что там на порту и с онушкой), но с отличием, что уже есть расширенный контроль доступов и логов действий.
      Так же имеет плюшки подобные заббикс и нагиос(графики, алерты, уведомления), но уведомление не на мыло или в группу телеграмм, а конкретно пользователю, который отвечает за работу оборудования на участке.
       
      Ориентирован на маленьких/средних интернет-провайдеров.
       
      Не перегружен
      Простая установка(в несколько команд) и максимально легкая настройка(добавить доступы к оборудованию, добавить оборудование, добавить персонал).
      Здесь нету сложных шаблонов по работе с оборудованием, замороченных настроек и т.п.
      (но если у кого то будет желание доработать инструментарий, добавить свои устройства - обращайтесь, обсудим) 
       
      Поддерживаемые вендоры 
      Dlink (DES/DGS) BDcom (P3310B/C/D, P3608B) C-data (OLTs) Mikrotik (роутеры) ZTE (C320, fw 2.1) Полный список поддерживаемого оборудования - https://github.com/meklis/switcher-core/blob/master/docs/DEVICES.md 
      С устройствами работает по SNMP/telnet/ssh  
       
      Основной функционал
      Отображение реалтайм состояния оборудования по запросу Алерты в телеграмм(лично каждому пользователю) и на почту с возможностью настроить фильтры История событий  Получение обновлений одной командой в консоли  RestAPI  Работа в Docker Хранение метрик в TSDB (Prometheus) Гибкое разделение прав доступа для пользователей (по группам) Разделение прав доступа(отображения) для пользователей по группам устройств(в случае, если пользователь не должен видеть все оборудование) Логирование действий пользователей, вызовов оборудования(только которые завершились ошибкой)   
      Как попробовать
      написать в группу в телеграм или оставить обращение на сайте (кнопка "Request beta")
       
       
      Инструмент бесплатен, но не опенсорс
      Группа в телеграмм: https://t.me/wildcore_dms_channel
      Сайт: https://wildcore.tools
      Дока: http://docs.wildcore.tools
       
    • Від Кузьменко.
      Добрий вечір.
      Вже не перший раз замічаю, що після масового пропадання електроенергії дуже погано конектяться абоненти на сервак.
      щоб законектилось чоловік 200 треба хвилин 15-20. В хвилину конектяться по 10-15 абонів.
      В логах запити від абонів дуже повільно з'являються.
      білінг працює нормально.
      Може є в когось ідеї?
    • Від Igor_GT
      Продам ліцензію ключ MikroTik CHR P10 разом з особистим кабінетом на mikrotik.com. Ключ активований, але його легко можна переносити з однієї RouterOS на іншу. 1500грн.

×
×
  • Створити нове...