Перейти к содержимому

mikrotik v7.2.3, не працює VRRP


Рекомендованные сообщения

Доброго дня, колеги.
Очі з орбіт повипадають, вже третій день не можу запустити VRRP. Хоча здається та що ж там запускать?

 

Два мікротика (CHR, v7.2.3, на віртуалках vmware). На ether1 інет. Адреси на інтерфейсах ether2 - 10.20.4.5/24 і 10.20.4.7/24.

Створив інтерфейс vrrp1 на інтерфейсі ether2 на обох роутерах.

Призначив і там і там на інтерфейсі vrrp1 10.20.4.1/32. Виставив priority на першому 255, на другому 100.

Запустив.

 

R1 - master, R2 - backup. Вимикаю ether2 на R1 протягом секунди R2 стає master, і навпаки. Ніби все красиво.

 

З машини 10.20.4.10 не пінгується а ні 10.20.4.1, а ні інет. Якщо на машині 10.20.4.10 виставляю вручну шлюз за замовчуванням 10.20.4.5 або 7, тоді пінг на 10.20.4.5 або 7 є, інет є.

 

Що може бути? Чи це такий v7-stable?

 

Update: в ESXi у віртуальному свитчі дозволив "Promiscuous mode" і "MAC address changes" (знайшов на форумах що без цього не запустится), поки що без змін

Изменено пользователем Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах
  В 08.06.2022 в 14:44, tkapluk сказал:

посмотри Packet Sniffer что приходит/уходит на маршрутизаторах с 10.20.4.10 когда нет пингов. 

 
Expand  

 

Бігають ARP-и.

 

Якщо в сніфері забити МАС-адресу машини 10.20.4.10 тоді повна тиша, але як тільки перезавантажую 10.20.4.10 починають бігати arp, rarp, ipv6.

src машина

dst FF:FF:FF:FF:FF:FF

Изменено пользователем Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах

Думав написати в техпідтримку Мікротика, колись вже прийде час робити це, але ж там відповідь протягом 3 днів, то навіть не знаю за скільки часу я вирішу питання з такої частотою відповідей. Можливо у когось на форумі є бізнес-підтримка Мікротика і там можуть швидше відповісти? Якщо буде можливість звісно...

 

Якщо придбання ліцензій надає право на використання бізнес-підтримки напишіть будь ласка, бо я ще не перевіряв цей варіант.

Ссылка на сообщение
Поделиться на других сайтах
  В 09.06.2022 в 08:32, Pasha_admin сказал:

Думав написати в техпідтримку Мікротика, колись вже прийде час робити це, але ж там відповідь протягом 3 днів, то навіть не знаю за скільки часу я вирішу питання з такої частотою відповідей. Можливо у когось на форумі є бізнес-підтримка Мікротика і там можуть швидше відповісти? Якщо буде можливість звісно...

 

Якщо придбання ліцензій надає право на використання бізнес-підтримки напишіть будь ласка, бо я ще не перевіряв цей варіант.

Expand  

Ничего это не даёт, приобретение.

Попробуйте на vrrp другую подсеть прибить

Ссылка на сообщение
Поделиться на других сайтах

Що між машиною 

  В 09.06.2022 в 07:10, Pasha_admin сказал:

тоді повна тиша

Expand  

Думаю, у тебе не у мікротах проблема... а у ESXi. 
вируби все що є у налаштуваннях безпеки мережі, зокрема Forged transmits. 

Изменено пользователем tkapluk
Ссылка на сообщение
Поделиться на других сайтах
  В 10.06.2022 в 04:20, tkapluk сказал:

Що між машиною 

Думаю, у тебе не у мікротах проблема... а у ESXi. 
вируби все що є у налаштуваннях безпеки мережі, зокрема Forged transmits. 

Expand  

Это в настройках свитча делается. Его наоборот нужно включить.

Ссылка на сообщение
Поделиться на других сайтах
  В 10.06.2022 в 05:06, Kiano сказал:

Его наоборот нужно включить.

Expand  

Тут как бы игра слов, значение Accept отключает фильтрацию. 

Ссылка на сообщение
Поделиться на других сайтах

Колеги, дуже дякую за допомогу! На жаль, поки що без змін.

 

Що робив:
1. змінив адресацію мережі, спробував різні

2. дозволив всі ACCEPT-и в налаштуваннях світчив і мереж ESXi

3. поспілкувався із сертифікованим тренером по Мікротик, і окремо з фахівцем, якій спеціалізується на мікротиках

 

Коли все так складно з'явилась думка, допоможіть прийняти рішення, будь ласка. Яким чином ще можна організувати failover для шлюза в мережі?

 

Що є:

Два провайдери, по BGP (fw) приходять в роутер, далі розлітаються по мережах і VLAN-ах.

Проблема:

1. Періодично відпадають провайдери, то один то другий.

2. Щось таке цікаве відбувається, що зв'язок зі шлюзом провайдера є, а BGP впав і не підімається (може флоп?) і поки не перезавантажу роутер ніяк не вирішується. Ресет порта не допомагає, тільки ребут. В логах тиша.

 

Треба ставити два роутери, по роутеру на прова, але шлюз для внутрішних мереж має бути один. От тут і питання, failover для шлюза? Чи може OSPF розгорнути? Чи якось ще.. ?

 

Ссылка на сообщение
Поделиться на других сайтах

Треба більше Мікротіків )) 

Явно проситься ще один костиль мікротик який по OSPF буде працювати із цими мікротами що вже є )) 

І нахіба вам FV в такій схемі?

 

А якщо серйозно, то тобі треба вирішити проблему з BGP сесіями... а не додавати костилів.

І там вже 7.3 вийшла, може щось пофіксили... 

Изменено пользователем tkapluk
Ссылка на сообщение
Поделиться на других сайтах
  В 10.06.2022 в 06:17, tkapluk сказал:

Треба більше Мікротіків )) 

Явно проситься ще один костиль мікротик який по OSPF буде працювати із цими мікротами що вже є )) 

І нахіба вам FV в такій схемі?

 

А якщо серйозно, то тобі треба вирішити проблему з BGP сесіями... а не додавати костилів.

І там вже 7.3 вийшла, може щось пофіксили... 

Expand  

 

Ми трохи відволіклись від теми ))) На рівні WAN у мене питання тільки з BGP і я там вирішу якось, failover там працює чудово (distance), все ок.

 

Питання failover на рівні LAN. Яким рішенням скористатися щоб уникнути зникання шлюзу за замовчуванням?

 

Изменено пользователем Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах

Відповіла техпідтримка, протягом 2 годин. Пішов робити лабораторні роботи. Відпишусь.


Сказали так:
1. йди сюди: https://wiki.mikrotik.com/wiki/Load_Balancing
2. якщо ні, тоді йди до сертифікованих фахівців в Україні (за гроші)

 

Ссылка на сообщение
Поделиться на других сайтах
  В 10.06.2022 в 12:27, Pasha_admin сказал:

Відповіла техпідтримка, протягом 2 годин. Пішов робити лабораторні роботи. Відпишусь.


Сказали так:
1. йди сюди: https://wiki.mikrotik.com/wiki/Load_Balancing
2. якщо ні, тоді йди до сертифікованих фахівців в Україні (за гроші)

 

Expand  

Если не получится, обращайтесь, разберёмся. Если принципиально, то сертификаты есть )) 

Ссылка на сообщение
Поделиться на других сайтах

VRRP працює, причина була в драйвері мережевого інтерфейсу в ESXi.

 

Було:
image.png.b4bdb4ae169264a338367ca927c7940e.png

Зробив:
image.png.84525b246b8620844115cb733f9cc31f.png

Не перевіряв чи запрацює з VMXNET2, швидше за все запрацює. Ось така ситуація.

 

А може хтось будь ласка ткнуть пальцем, де почитати? З ввімкненим "promiscuos mode" з точки зору безпеки в продакшн взагалі можна? Особливо якщо це не локалка, а мережа білих IP. Різні люди, різні ситуації, хтось підключився і працює, а хтось буде шаритись мережею, підставляти MAC-адреси, плюс флуд по портах, плюс snif і т.д. Ну ви розумієте.

Буду дуже вдячний за коментарі.

 

UPD: почитав, і вже розумію що це дуже погана ідея, але можливо є вихід/рішення якесь? Щоб і VRRP залишити як failover і прибити флуд.

image.png.2d5ab5bfb2664cd6687840686487609a.png

 

може так? чи це все бред?

 

 

Изменено пользователем Pasha_admin
Ссылка на сообщение
Поделиться на других сайтах
  В 13.06.2022 в 05:28, Pasha_admin сказал:

дуже погана ідея

Expand  

Так, а якщо б у тебе була не віртуалізація, а пара девайсів від Мікротіка... то щоб змінилося? )) 

 

Ви білі ip видаєте всім підряд? 

Ссылка на сообщение
Поделиться на других сайтах
  В 13.06.2022 в 08:57, tkapluk сказал:

Так, а якщо б у тебе була не віртуалізація, а пара девайсів від Мікротіка... то щоб змінилося? )) 

 

Ви білі ip видаєте всім підряд? 

Expand  

 

Власне нічого б не змінилося (( мабуть тому техпідтримка Mikrotik мене одразу в balancing направила а не в розділ VRRP. Зрозумів. Помацав і хорош, бачив працює, поставив крапку. А так хотілось вирішити питання на LAN-шлюзі (

 

Не видаємо всім підряд, але ж спочатку всі таки чесні правильні "добрий день, буль ласка, дякую..." )) а потім "хоба" і відвалилось щось.

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: x-net
      Продам вживаний Mikrotik CRS326-24S+2Q+ : 24 порти 10Г, 2 порти 40Г, 2 блоки живлення. Прошу 15 тис.
    • Автор: Игорь2025
      Требуется ремонт  внешней точки доступа Mikrotik
      Точка доступа RBwAPG-5HacD2HnD
    • Автор: fitros
      Вітаю всіх!
      Професійно займаюсь ремонтом зварювальних апаратів, сколювачів, обладнання MikroTik та Ubiquiti. Маю великий досвід і ґрунтовні знання в ремонті та обслуговуванні вказаного обладнання. Звертайтесь із запитаннями — завжди радий допомогти!
       
       
    • Автор: zababaha
      Всем привет.
      В один прекрасный день отвалился MikroTik RB4011GS+RM. При включении загорается индикация питания и всё. 
      Попытки сбросить до заводских настроек, играться с netisntall в надежде перезалить в него прошивку никак не помогли. Поведение не меняется.
      Пробежался по интернетам в попытках найти авторизованный сервис для диагностики и, если живой, то ремонта - не помогли.
      Несколько лет назад покупал его на ntema, позвонил им, но ребята сказали, что негарантийным ремонтом не занимаются.
       
      Подскажите, плиз, кого-нибудь, кто возьмётся за диагностику и ремонт, если он ремонтопригоден? Цацка не копеечная, сразу в утиль отправлять будет грустно.
       
      З.Ы.: За 15 лет дружбы с тиками у меня этот первый, кто взял - и сдох на ровном месте(
    • Автор: alexeya
      Контроллер TP-Link OC200 - 2700 грн (є 4 штуки)
      Точка доступа TP-Link EAP245 - 2900 грн
      Mimosa C5x - 5000 грн (є 2 штуки)
      Mikrotik Groove A-52HPn - 1500 грн
       
      Mikrotik Groove A-52HPn вживана без POE-адаптера - 990 грн

×
×
  • Создать...