Перейти до

Mikrotik BGP


Рекомендованные сообщения

 

Так не должно быть

А если маршрут от запрашиваемого серва бодрее через 2-го прова?? АС ведь одна и таже, и в оба аплинка анонсится одна и таже сеть?

 

Читай внимательнее, нет АС, используются адреса ISP1. Трафик никаким образом не может попасть к ISP2, только через прямой стык ISP1<->ISP2 с криво выставленным localpref.
Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 63
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

У меня CCR1036. Не пофиксили. Обещают с 7 ветки. Но 7ю ветку обещают выпустить уже лет 5. Поэтому надежд мало.

Баг не пофиксили. И не будут. Проблему решат при переходе на новое ядро линуха. Вроде как с 7 ветки должно случиться. По всем ощущениям ща в микроте стоит 2.6 ядро, тогда как в мире давно бегают ядра

FW лучше не берите, микротик с ним плохо работает. Грузит только 1 ядро, у меня от 3FW оно всегда в полку

 

 

Так не должно быть

А если маршрут от запрашиваемого серва бодрее через 2-го прова?? АС ведь одна и таже, и в оба аплинка анонсится одна и таже сеть?

 

Читай внимательнее, нет АС, используются адреса ISP1. Трафик никаким образом не может попасть к ISP2, только через прямой стык ISP1<->ISP2 с криво выставленным localpref.

 

Читай внимательнее первый пост ТС-а - есть у него своя АС

Ссылка на сообщение
Поделиться на других сайтах

если от второго по БГП забираешь только дефолт, то так и должно быть. Если берешь фулл-вью - то так быть не должно.

только дефолт. Значит все ок. 

 

 

 

 

Так не должно быть

А если маршрут от запрашиваемого серва бодрее через 2-го прова?? АС ведь одна и таже, и в оба аплинка анонсится одна и таже сеть?

 

Читай внимательнее, нет АС, используются адреса ISP1. Трафик никаким образом не может попасть к ISP2, только через прямой стык ISP1<->ISP2 с криво выставленным localpref.

 

АС есть, но пир только на втором пока поднят ;)

для теста себе выдал IP адрес своей АС. В миру виден со своим адресом, но как-то так непонятно ходил трафик ;), теперь вроде понятно ;)

Ссылка на сообщение
Поделиться на других сайтах

у него статический дефолт на первого аплика, со вторым поднята сессия, кудой он себя анонсит, но не известно пока что он принимает. Если принимает только дефолт, то при выходе из под  ип-шника своей сети - статический дефолт на первого аплинка более приоритетен, пакет уйдет через него. А вот с внешней стороны ип-шник его сети виден только через второй аплинк, с первым нет сессии - ничего не анонсится туда.

 

Обратка ессно пойдет через второго

Відредаговано wad1015
Ссылка на сообщение
Поделиться на других сайтах

у него статический дефолт на первого аплика, со вторым поднята сессия, кудой он себя анонсит, но не известно пока что он принимает. Если принимает только дефолт, то при выходе из под  ип-шника своей сети - статический дефолт на первого аплинка более приоритетен, пакет уйдет через него. А вот с внешней стороны ип-шник его сети виден только через второй аплинк, с первым нет сессии - ничего не анонсится туда.

 

Обратка ессно пойдет через второго

Логично. ТС просто немного непоследовательно объясняет ситуацию, начиналось все "используем НАТ на адресах аплинков", закончилось таки анонсом своих адресов и проблемой с ними.
Ссылка на сообщение
Поделиться на других сайтах

С одним из аплинков поднял сегодня BGP-пир (с аплинком-2), в сеть выхожу под своим адресом. На роутере настроен НАТ для всех абонентов пока через адреса аплинков. Запускаю спидтест, от меня трафик идет через НАТ первого аплинка, а возвращается через второго. Так и должно быть? ;) Default Route - шлюз первого аплинка. 

Скорее всего проблема у тебя с дефолт роутом у тебя первичным (имеющим вес или метрику) стоит роут на первого прова, а вторичным на второго, а в твоей ситуации должно быть наоборот. 

Ссылка на сообщение
Поделиться на других сайтах

Еще сразу вопрос каким правилом ты НАТиш ? Если masquarade то переделай относительно второго Прова с которым ты построил BGP по такой схеме

chain=srcnat action=src-nat to-addresses=1.1.1.1 src-address-list=Nat_ip_2 dst-address-list=!Local_ip out-interface=etherХ log=no log-prefix=""

где 

1) action=src-nat to-addresses=1.1.1.1 (IP провайдера 2)

2) src-address-list=Nat_ip_2  (Список IP адресов твоей подсети которые нужно занатить (к примеру локальные ИП 192,168,0,0/24)

3) dst-address-list=!Local_ip (Список твоих подсетей и локальных и мировых 192,168,0,0/24 и 23.23.23.0/24)

4) out-interface=etherХ (интерфейс который смотрит на провайдера 2)

 

На перевого прова сделай так:

chain=srcnat action=src-nat to-addresses=2.2.2.2 src-address-list=Nat_ip_1  out-interface=etherХ log=no log-prefix=""

где 

1) src-address-list=Nat_ip_1 (Список твоих подсетей и локальных и мировых 192,168,0,0/24 и 23.23.23.0/24)

 

Ну и естественно в роутах поменяй вес дефолт роута обычно по BGP приходит дефолт с весом 20 (могу ошибаться) далее это регулируеться в фильтрах параметром 

/routing filter> 

chain=in-999999999 prefix=0.0.0.0/0 invert-match=no action=accept set-distance=5 set-bgp-prepend-path="" 

 

1) set-distance=5

 

ну а на первого сделай вес дефолт роута 10

Відредаговано max_m
Ссылка на сообщение
Поделиться на других сайтах

Такой вариант как я выше описал будет работать так 2-й пров основа если пропал канал со вторым переключился на первого и продолжаеш работать (единственное что при переходе на первого провайдера занатятся твои мировые ИП за ИП провайдера 1) . 

Ссылка на сообщение
Поделиться на других сайтах

Ну и естественно в роутах поменяй вес дефолт роута обычно по BGP приходит дефолт с весом 20 (могу ошибаться) далее это регулируеться в фильтрах параметром 


/routing filter> 


chain=in-999999999 prefix=0.0.0.0/0 invert-match=no action=accept set-distance=5 set-bgp-prepend-path="" 


 


1) set-distance=5


 


ну а на первого сделай вес дефолт роута 10


или просто в роутах сделай метрику дефолт роута первого прова болше чем то что пришло от второго....

Відредаговано max_m
Ссылка на сообщение
Поделиться на других сайтах

Поднял BGP со вторим пиром.

Весь исходящий трафик - уходит через первого аплинка, весь входящий приходит через второго ;)

Исход - мне в принципе параллельно как  будет ходить, а вот приход хочется как-то немного сбалансировать. Я так понял что мне нужно в сторону BGP Prepend смотреть. В фильтре есть правила для второго аплинка:

/routing bgp peer add remote-address=**.**.**.** remote-as=21219 instance=default out-filter=AS21219-bgp-out in-filter=AS21219-bgp-in 
/routing filter add action=accept chain=AS21219-bgp-out comment="" disabled=no invert-match=no prefix=95.46.76.0/24
/routing filter add action=discard chain=AS21219-bgp-out comment="" disabled=no invert-match=no 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=10.0.0.0/8 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=169.254.0.0/16 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=192.168.0.0/16 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=172.16.0.0/12 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=224.0.0.0/4 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=240.0.0.0/4 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=127.0.0.0/8 
/routing filter add action=discard chain=AS21219-bgp-in comment="" disabled=no invert-match=no prefix=95.46.76.0/24
/routing filter add action=accept chain=AS21219-bgp-in comment="" disabled=no invert-match=no 

правильно ли я понимаю что в последней строчке мне нужно добавить set-bgp-prepend=ХХ, где ХХ число на сколько хопов хочу удлинить маршрут?

как быстро этот фильтр должен примениться? Сейчас сделал set-bgp-prepend=3, результата нет никакого или нужно подождать час-другой?

Ссылка на сообщение
Поделиться на других сайтах

BGP атрибуты растекаются в течении нескольких секунд.

Для применения изменений нужно дергать сессию, хз как это в микротике сделано.

Для дальнейшей балансировки нужно смотреть что и кому вы анонсируете на мировых looking glass, если на втором канале полный ноль - скорее всего через него анонсы не уходят вообще.

Ссылка на сообщение
Поделиться на других сайтах

BGP атрибуты растекаются в течении нескольких секунд.

Для применения изменений нужно дергать сессию, хз как это в микротике сделано.

Для дальнейшей балансировки нужно смотреть что и кому вы анонсируете на мировых looking glass, если на втором канале полный ноль - скорее всего через него анонсы не уходят вообще.

Tue Jun 20 20:29:46.626 UTC
BGP routing table entry for 95.46.76.0/24
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker           20270597    20270597
Last Modified: Jun 14 13:14:06.719 for 6d07h
Paths: (1 available, best #1)
  Advertised to peers (in unique update groups):
    38.5.0.99       
  Path #1: Received by speaker 0
  Advertised to peers (in unique update groups):
    38.5.0.99       
  1299 21219 42146
    130.117.14.198 (metric 102021) from 38.28.1.83 (38.28.1.143)
      Origin IGP, metric 4294967294, localpref 100, valid, internal, best, group-best, import-candidate
      Received Path ID 0, Local Path ID 0, version 20270597
      Community: 174:11401 174:20666 174:21100 174:22005
      Originator: 38.28.1.143, Cluster list: 38.28.1.83, 38.28.1.67

Судя по ответу looking glass cogenta моя АС анонсится только через одного аплинка, через второго не видна... Верно я ответ понял?

Ссылка на сообщение
Поделиться на других сайтах
Route results for 95.46.76.0/24 from Amsterdam, Netherlands


BGP Routing table entry for 95.46.76.0/24
Paths: (2 available, best #1)

  1299 21219 42146
  AS-path translation: 95.46.76.0/24
   ear3.Amsterdam1 (metric 0)
    Community: Europe Lclprf_86 Netherlands Level3_Peer Amsterdam Level3:10037
    Origin: IGP, metric 0, localpref 86, Used  Valid  Best  IGP  Group-Best
    Originator: ear3.Amsterdam1

  1299 21219 42146
  AS-path translation: 95.46.76.0/24
   ear3.Amsterdam1 (metric 0)
    Community: Europe Lclprf_86 Netherlands Level3_Peer Amsterdam Level3:10037
    Origin: IGP, metric 0, localpref 86, Valid  IGP
    Originator: ear3.Amsterdam1

http://lookingglass.level3.net

 

42146 - моя АС и тут походу пишут что доступна только через АС21219. 

Нужно пинать второго аплинка? Сессия поднята с ним более суток, или мог я что-то со своей стороны накосячить что виден только через одного?

Ссылка на сообщение
Поделиться на других сайтах

Верно, анонсы от вас везде(включая ua-ix) только через дату.

Я никак не могу повлиять на анонсы через второго аплинка? У меня оба peer в состоянии established, маршруты default пришли от обоих. Нужно пинать аплинка?

Ссылка на сообщение
Поделиться на других сайтах

Да, проблема была у аплинка, Анонсы уже побежали в обе стороны и входящий трафик автоматом разбежался по разным интерфейсам.

Посмотрю картину в ЧНН, может и не нужно будет prependом ничего регулировать ;)

Ссылка на сообщение
Поделиться на других сайтах

Спросите  у аплинка  есть ли у него   community   для управления вашими сетями.

Если есть, что мне это может дать?

community нужно у обоих спрашивать?

Ссылка на сообщение
Поделиться на других сайтах

 

Верно, анонсы от вас везде(включая ua-ix) только через дату.

Я никак не могу повлиять на анонсы через второго аплинка? У меня оба peer в состоянии established, маршруты default пришли от обоих. Нужно пинать аплинка?

 

Иногда нужно и даже больно :).  Зачем тебе те комьюнити сейчас , удлини маршрут и посмотри как разбегается по каналам . У микротика сессию рвать не нужно . 

Ссылка на сообщение
Поделиться на других сайтах

 

 

Верно, анонсы от вас везде(включая ua-ix) только через дату.

Я никак не могу повлиять на анонсы через второго аплинка? У меня оба peer в состоянии established, маршруты default пришли от обоих. Нужно пинать аплинка?

 

Иногда нужно и даже больно :).  Зачем тебе те комьюнити сейчас , удлини маршрут и посмотри как разбегается по каналам . У микротика сессию рвать не нужно . 

 

Уже понял. Играюсь ;). Спасибо всем за помощь! Все оказалось намного проще чем выглядело до того как начал осваивать BGP :)

Ссылка на сообщение
Поделиться на других сайтах
  • 1 year later...
В 14.06.2017 в 11:34, masters сказал:

FW лучше не берите, микротик с ним плохо работает. Грузит только 1 ядро, у меня от 3FW оно всегда в полку

Собираюсь FV поднимать, какая железка у вас стоит, и не пофиксили ли этот баг за год? 

Ссылка на сообщение
Поделиться на других сайтах

Баг не пофиксили. И не будут. Проблему решат при переходе на новое ядро линуха. Вроде как с 7 ветки должно случиться. По всем ощущениям ща в микроте стоит 2.6 ядро, тогда как в мире давно бегают ядра выше 4. Микроте ещё долго вылизывать. За столько лет в ядрах много чё поменялось. Я б на вашем месте потихому перелазил бы с микротам на бордере на что-то иное. Для начала и линуха сойдёт.

 

 

Кстати, зачем ФВ? Для прова В 90% хватает дефолта. А для прова на микроте и подавно.

Відредаговано Dimkers
  • Like 1
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах
32 минуты назад, BALTAR сказал:

Собираюсь FV поднимать, какая железка у вас стоит, и не пофиксили ли этот баг за год?

У меня CCR1036. Не пофиксили. Обещают с 7 ветки. Но 7ю ветку обещают выпустить уже лет 5. Поэтому надежд мало.

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Myr4ik
      Всем привет!
      Когда-то на просторах локала находил as-set со списком российских asn, но сейчас что-то не нахожу.
      Поделитесь, пожалуйста.
       
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.

×
×
  • Створити нове...