mikrotik v7.2.3, не працює VRRP

[Pasha_admin 4]

Доброго дня, колеги.
Очі з орбіт повипадають, вже третій день не можу запустити VRRP. Хоча здається та що ж там запускать?

 

Два мікротика (CHR, v7.2.3, на віртуалках vmware). На ether1 інет. Адреси на інтерфейсах ether2 - 10.20.4.5/24 і 10.20.4.7/24.

Створив інтерфейс vrrp1 на інтерфейсі ether2 на обох роутерах.

Призначив і там і там на інтерфейсі vrrp1 10.20.4.1/32. Виставив priority на першому 255, на другому 100.

Запустив.

 

R1 - master, R2 - backup. Вимикаю ether2 на R1 протягом секунди R2 стає master, і навпаки. Ніби все красиво.

 

З машини 10.20.4.10 не пінгується а ні 10.20.4.1, а ні інет. Якщо на машині 10.20.4.10 виставляю вручну шлюз за замовчуванням 10.20.4.5 або 7, тоді пінг на 10.20.4.5 або 7 є, інет є.

 

Що може бути? Чи це такий v7-stable?

 

Update: в ESXi у віртуальному свитчі дозволив "Promiscuous mode" і "MAC address changes" (знайшов на форумах що без цього не запустится), поки що без змін

Відредаговано 2022-06-09 06:51:35 Pasha_admin

[tkapluk 871]

посмотри Packet Sniffer что приходит/уходит на маршрутизаторах с 10.20.4.10 когда нет пингов. 

[Pasha_admin 4]

16 часов назад, tkapluk сказав:

посмотри Packet Sniffer что приходит/уходит на маршрутизаторах с 10.20.4.10 когда нет пингов. 

 

 

Бігають ARP-и.

 

Якщо в сніфері забити МАС-адресу машини 10.20.4.10 тоді повна тиша, але як тільки перезавантажую 10.20.4.10 починають бігати arp, rarp, ipv6.

src машина

dst FF:FF:FF:FF:FF:FF

Відредаговано 2022-06-09 07:17:45 Pasha_admin

[Pasha_admin 4]

Думав написати в техпідтримку Мікротика, колись вже прийде час робити це, але ж там відповідь протягом 3 днів, то навіть не знаю за скільки часу я вирішу питання з такої частотою відповідей. Можливо у когось на форумі є бізнес-підтримка Мікротика і там можуть швидше відповісти? Якщо буде можливість звісно...

 

Якщо придбання ліцензій надає право на використання бізнес-підтримки напишіть будь ласка, бо я ще не перевіряв цей варіант.

[Kiano 598]

6 часов назад, Pasha_admin сказал:

Думав написати в техпідтримку Мікротика, колись вже прийде час робити це, але ж там відповідь протягом 3 днів, то навіть не знаю за скільки часу я вирішу питання з такої частотою відповідей. Можливо у когось на форумі є бізнес-підтримка Мікротика і там можуть швидше відповісти? Якщо буде можливість звісно...

 

Якщо придбання ліцензій надає право на використання бізнес-підтримки напишіть будь ласка, бо я ще не перевіряв цей варіант.

Ничего это не даёт, приобретение.

Попробуйте на vrrp другую подсеть прибить

[tkapluk 871]

Що між машиною 

21 час назад, Pasha_admin сказал:

тоді повна тиша

Думаю, у тебе не у мікротах проблема... а у ESXi. 
вируби все що є у налаштуваннях безпеки мережі, зокрема Forged transmits. 

Відредаговано 2022-06-10 04:22:13 tkapluk

[Kiano 598]

45 минут назад, tkapluk сказал:

Що між машиною 

Думаю, у тебе не у мікротах проблема... а у ESXi. 
вируби все що є у налаштуваннях безпеки мережі, зокрема Forged transmits. 

Это в настройках свитча делается. Его наоборот нужно включить.

[tkapluk 871]

15 минут назад, Kiano сказал:

Его наоборот нужно включить.

Тут как бы игра слов, значение Accept отключает фильтрацию. 

[Pasha_admin 4]

Колеги, дуже дякую за допомогу! На жаль, поки що без змін.

 

Що робив:
1. змінив адресацію мережі, спробував різні

2. дозволив всі ACCEPT-и в налаштуваннях світчив і мереж ESXi

3. поспілкувався із сертифікованим тренером по Мікротик, і окремо з фахівцем, якій спеціалізується на мікротиках

 

Коли все так складно з'явилась думка, допоможіть прийняти рішення, будь ласка. Яким чином ще можна організувати failover для шлюза в мережі?

 

Що є:

Два провайдери, по BGP (fw) приходять в роутер, далі розлітаються по мережах і VLAN-ах.

Проблема:

1. Періодично відпадають провайдери, то один то другий.

2. Щось таке цікаве відбувається, що зв'язок зі шлюзом провайдера є, а BGP впав і не підімається (може флоп?) і поки не перезавантажу роутер ніяк не вирішується. Ресет порта не допомагає, тільки ребут. В логах тиша.

 

Треба ставити два роутери, по роутеру на прова, але шлюз для внутрішних мереж має бути один. От тут і питання, failover для шлюза? Чи може OSPF розгорнути? Чи якось ще.. ?

 

[tkapluk 871]

Треба більше Мікротіків )) 

Явно проситься ще один костиль мікротик який по OSPF буде працювати із цими мікротами що вже є )) 

І нахіба вам FV в такій схемі?

 

А якщо серйозно, то тобі треба вирішити проблему з BGP сесіями... а не додавати костилів.

І там вже 7.3 вийшла, може щось пофіксили... 

Відредаговано 2022-06-10 06:28:30 tkapluk

[Pasha_admin 4]

51 минуту назад, tkapluk сказав:

Треба більше Мікротіків )) 

Явно проситься ще один костиль мікротик який по OSPF буде працювати із цими мікротами що вже є )) 

І нахіба вам FV в такій схемі?

 

А якщо серйозно, то тобі треба вирішити проблему з BGP сесіями... а не додавати костилів.

І там вже 7.3 вийшла, може щось пофіксили... 

 

Ми трохи відволіклись від теми ))) На рівні WAN у мене питання тільки з BGP і я там вирішу якось, failover там працює чудово (distance), все ок.

 

Питання failover на рівні LAN. Яким рішенням скористатися щоб уникнути зникання шлюзу за замовчуванням?

 

Відредаговано 2022-06-10 07:17:42 Pasha_admin

[Pasha_admin 4]

Відповіла техпідтримка, протягом 2 годин. Пішов робити лабораторні роботи. Відпишусь.

Сказали так:
1. йди сюди: https://wiki.mikrotik.com/wiki/Load_Balancing
2. якщо ні, тоді йди до сертифікованих фахівців в Україні (за гроші)

 

[Kiano 598]

1 час назад, Pasha_admin сказал:

Відповіла техпідтримка, протягом 2 годин. Пішов робити лабораторні роботи. Відпишусь.

Сказали так:
1. йди сюди: https://wiki.mikrotik.com/wiki/Load_Balancing
2. якщо ні, тоді йди до сертифікованих фахівців в Україні (за гроші)

 

Если не получится, обращайтесь, разберёмся. Если принципиально, то сертификаты есть )) 

[Pasha_admin 4]

VRRP працює, причина була в драйвері мережевого інтерфейсу в ESXi.

 

Було:

Зробив:

Не перевіряв чи запрацює з VMXNET2, швидше за все запрацює. Ось така ситуація.

 

А може хтось будь ласка ткнуть пальцем, де почитати? З ввімкненим "promiscuos mode" з точки зору безпеки в продакшн взагалі можна? Особливо якщо це не локалка, а мережа білих IP. Різні люди, різні ситуації, хтось підключився і працює, а хтось буде шаритись мережею, підставляти MAC-адреси, плюс флуд по портах, плюс snif і т.д. Ну ви розумієте.

Буду дуже вдячний за коментарі.

 

UPD: почитав, і вже розумію що це дуже погана ідея, але можливо є вихід/рішення якесь? Щоб і VRRP залишити як failover і прибити флуд.

 

може так? чи це все бред?

 

 

Відредаговано 2022-06-13 05:39:12 Pasha_admin

[tkapluk 871]

3 часа назад, Pasha_admin сказал:

дуже погана ідея

Так, а якщо б у тебе була не віртуалізація, а пара девайсів від Мікротіка... то щоб змінилося? )) 

 

Ви білі ip видаєте всім підряд? 

[Pasha_admin 4]

20 часов назад, tkapluk сказав:

Так, а якщо б у тебе була не віртуалізація, а пара девайсів від Мікротіка... то щоб змінилося? )) 

 

Ви білі ip видаєте всім підряд? 

 

Власне нічого б не змінилося (( мабуть тому техпідтримка Mikrotik мене одразу в balancing направила а не в розділ VRRP. Зрозумів. Помацав і хорош, бачив працює, поставив крапку. А так хотілось вирішити питання на LAN-шлюзі (

 

Не видаємо всім підряд, але ж спочатку всі таки чесні правильні "добрий день, буль ласка, дякую..." )) а потім "хоба" і відвалилось щось.

 

[Pasha_admin 4]

Тему можна закривати.

p.s. маю створити нову про LAN failover.