Перейти до

mikrotik v7.2.3, не працює VRRP


Рекомендованные сообщения

Доброго дня, колеги.
Очі з орбіт повипадають, вже третій день не можу запустити VRRP. Хоча здається та що ж там запускать?

 

Два мікротика (CHR, v7.2.3, на віртуалках vmware). На ether1 інет. Адреси на інтерфейсах ether2 - 10.20.4.5/24 і 10.20.4.7/24.

Створив інтерфейс vrrp1 на інтерфейсі ether2 на обох роутерах.

Призначив і там і там на інтерфейсі vrrp1 10.20.4.1/32. Виставив priority на першому 255, на другому 100.

Запустив.

 

R1 - master, R2 - backup. Вимикаю ether2 на R1 протягом секунди R2 стає master, і навпаки. Ніби все красиво.

 

З машини 10.20.4.10 не пінгується а ні 10.20.4.1, а ні інет. Якщо на машині 10.20.4.10 виставляю вручну шлюз за замовчуванням 10.20.4.5 або 7, тоді пінг на 10.20.4.5 або 7 є, інет є.

 

Що може бути? Чи це такий v7-stable?

 

Update: в ESXi у віртуальному свитчі дозволив "Promiscuous mode" і "MAC address changes" (знайшов на форумах що без цього не запустится), поки що без змін

Відредаговано Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
16 часов назад, tkapluk сказав:

посмотри Packet Sniffer что приходит/уходит на маршрутизаторах с 10.20.4.10 когда нет пингов. 

 

 

Бігають ARP-и.

 

Якщо в сніфері забити МАС-адресу машини 10.20.4.10 тоді повна тиша, але як тільки перезавантажую 10.20.4.10 починають бігати arp, rarp, ipv6.

src машина

dst FF:FF:FF:FF:FF:FF

Відредаговано Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах

Думав написати в техпідтримку Мікротика, колись вже прийде час робити це, але ж там відповідь протягом 3 днів, то навіть не знаю за скільки часу я вирішу питання з такої частотою відповідей. Можливо у когось на форумі є бізнес-підтримка Мікротика і там можуть швидше відповісти? Якщо буде можливість звісно...

 

Якщо придбання ліцензій надає право на використання бізнес-підтримки напишіть будь ласка, бо я ще не перевіряв цей варіант.

Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, Pasha_admin сказал:

Думав написати в техпідтримку Мікротика, колись вже прийде час робити це, але ж там відповідь протягом 3 днів, то навіть не знаю за скільки часу я вирішу питання з такої частотою відповідей. Можливо у когось на форумі є бізнес-підтримка Мікротика і там можуть швидше відповісти? Якщо буде можливість звісно...

 

Якщо придбання ліцензій надає право на використання бізнес-підтримки напишіть будь ласка, бо я ще не перевіряв цей варіант.

Ничего это не даёт, приобретение.

Попробуйте на vrrp другую подсеть прибить

Ссылка на сообщение
Поделиться на других сайтах

Що між машиною 

21 час назад, Pasha_admin сказал:

тоді повна тиша

Думаю, у тебе не у мікротах проблема... а у ESXi. 
вируби все що є у налаштуваннях безпеки мережі, зокрема Forged transmits. 

Відредаговано tkapluk
Ссылка на сообщение
Поделиться на других сайтах
45 минут назад, tkapluk сказал:

Що між машиною 

Думаю, у тебе не у мікротах проблема... а у ESXi. 
вируби все що є у налаштуваннях безпеки мережі, зокрема Forged transmits. 

Это в настройках свитча делается. Его наоборот нужно включить.

Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, Kiano сказал:

Его наоборот нужно включить.

Тут как бы игра слов, значение Accept отключает фильтрацию. 

Ссылка на сообщение
Поделиться на других сайтах

Колеги, дуже дякую за допомогу! На жаль, поки що без змін.

 

Що робив:
1. змінив адресацію мережі, спробував різні

2. дозволив всі ACCEPT-и в налаштуваннях світчив і мереж ESXi

3. поспілкувався із сертифікованим тренером по Мікротик, і окремо з фахівцем, якій спеціалізується на мікротиках

 

Коли все так складно з'явилась думка, допоможіть прийняти рішення, будь ласка. Яким чином ще можна організувати failover для шлюза в мережі?

 

Що є:

Два провайдери, по BGP (fw) приходять в роутер, далі розлітаються по мережах і VLAN-ах.

Проблема:

1. Періодично відпадають провайдери, то один то другий.

2. Щось таке цікаве відбувається, що зв'язок зі шлюзом провайдера є, а BGP впав і не підімається (може флоп?) і поки не перезавантажу роутер ніяк не вирішується. Ресет порта не допомагає, тільки ребут. В логах тиша.

 

Треба ставити два роутери, по роутеру на прова, але шлюз для внутрішних мереж має бути один. От тут і питання, failover для шлюза? Чи може OSPF розгорнути? Чи якось ще.. ?

 

Ссылка на сообщение
Поделиться на других сайтах

Треба більше Мікротіків )) 

Явно проситься ще один костиль мікротик який по OSPF буде працювати із цими мікротами що вже є )) 

І нахіба вам FV в такій схемі?

 

А якщо серйозно, то тобі треба вирішити проблему з BGP сесіями... а не додавати костилів.

І там вже 7.3 вийшла, може щось пофіксили... 

Відредаговано tkapluk
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
51 минуту назад, tkapluk сказав:

Треба більше Мікротіків )) 

Явно проситься ще один костиль мікротик який по OSPF буде працювати із цими мікротами що вже є )) 

І нахіба вам FV в такій схемі?

 

А якщо серйозно, то тобі треба вирішити проблему з BGP сесіями... а не додавати костилів.

І там вже 7.3 вийшла, може щось пофіксили... 

 

Ми трохи відволіклись від теми ))) На рівні WAN у мене питання тільки з BGP і я там вирішу якось, failover там працює чудово (distance), все ок.

 

Питання failover на рівні LAN. Яким рішенням скористатися щоб уникнути зникання шлюзу за замовчуванням?

 

Відредаговано Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах

Відповіла техпідтримка, протягом 2 годин. Пішов робити лабораторні роботи. Відпишусь.


Сказали так:
1. йди сюди: https://wiki.mikrotik.com/wiki/Load_Balancing
2. якщо ні, тоді йди до сертифікованих фахівців в Україні (за гроші)

 

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Pasha_admin сказал:

Відповіла техпідтримка, протягом 2 годин. Пішов робити лабораторні роботи. Відпишусь.


Сказали так:
1. йди сюди: https://wiki.mikrotik.com/wiki/Load_Balancing
2. якщо ні, тоді йди до сертифікованих фахівців в Україні (за гроші)

 

Если не получится, обращайтесь, разберёмся. Если принципиально, то сертификаты есть )) 

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

VRRP працює, причина була в драйвері мережевого інтерфейсу в ESXi.

 

Було:
image.png.b4bdb4ae169264a338367ca927c7940e.png

Зробив:
image.png.84525b246b8620844115cb733f9cc31f.png

Не перевіряв чи запрацює з VMXNET2, швидше за все запрацює. Ось така ситуація.

 

А може хтось будь ласка ткнуть пальцем, де почитати? З ввімкненим "promiscuos mode" з точки зору безпеки в продакшн взагалі можна? Особливо якщо це не локалка, а мережа білих IP. Різні люди, різні ситуації, хтось підключився і працює, а хтось буде шаритись мережею, підставляти MAC-адреси, плюс флуд по портах, плюс snif і т.д. Ну ви розумієте.

Буду дуже вдячний за коментарі.

 

UPD: почитав, і вже розумію що це дуже погана ідея, але можливо є вихід/рішення якесь? Щоб і VRRP залишити як failover і прибити флуд.

image.png.2d5ab5bfb2664cd6687840686487609a.png

 

може так? чи це все бред?

 

 

Відредаговано Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Pasha_admin сказал:

дуже погана ідея

Так, а якщо б у тебе була не віртуалізація, а пара девайсів від Мікротіка... то щоб змінилося? )) 

 

Ви білі ip видаєте всім підряд? 

Ссылка на сообщение
Поделиться на других сайтах
20 часов назад, tkapluk сказав:

Так, а якщо б у тебе була не віртуалізація, а пара девайсів від Мікротіка... то щоб змінилося? )) 

 

Ви білі ip видаєте всім підряд? 

 

Власне нічого б не змінилося (( мабуть тому техпідтримка Mikrotik мене одразу в balancing направила а не в розділ VRRP. Зрозумів. Помацав і хорош, бачив працює, поставив крапку. А так хотілось вирішити питання на LAN-шлюзі (

 

Не видаємо всім підряд, але ж спочатку всі таки чесні правильні "добрий день, буль ласка, дякую..." )) а потім "хоба" і відвалилось щось.

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • Від viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?
×
×
  • Створити нове...