+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с EoIP-туннелями

Проблема с EoIP-туннелями, RouterOS

bart000

Guest

10.03.2015 20:07:00

Привет! У меня есть CRS125-24G-1S с лицензией v6.15 уровня 5. У меня настроено 38 eoip-туннелей, которые связывают rb750 с crs из разных локаций и от разных провайдеров. Все eoip-интерфейсы объединены в один мост и подключены к ether2 (eth2 — мастер-порт для всех остальных ethernet-портов). Всё работает отлично. Но теперь мне нужно сделать ещё 12 eoip-туннелей, и тут возникла проблема...

Я создаю новый eoip-интерфейс (к нему ничего не подключено), вроде всё нормально, но как только добавляю его в мост, один из старых туннелей перестаёт работать (он всё так же подключён к crs, на стороне rb750 получает IP по DHCP, но доступа к сети нет, на crs ничего не отвечает на пинг и прочее). Как только я удаляю новый туннель из моста, старый снова начинает работать.

Если я добавляю два новых туннеля в мост, два старых перестают работать. Существует ли ограничение на количество одновременно работающих туннелей? Я читал, что их должно быть неограниченно. Помогите, пожалуйста.

P.S. Извините за мой плохой английский.

ZeroByte

Guest

24.03.2015 21:23:00

Понимаю. Вы не думали попробовать что-то вроде L2TP с профилем моста? Это может немного упростить управление настройками и так далее, а также даст возможность в будущем использовать динамические IP на стороне клиента. Возможно, стоит попробовать добавить новый сайт как L2TP+мост и посмотреть, начнут ли работать EoIP-ссылки. Если будет лучше, тогда можно переходить. Единственное, чего я не увидел в профиле — это опции split horizon, она может пригодиться для некоторых вариантов развертывания.

bart000

Guest

24.03.2015 22:08:00

Спасибо за всю помощь, я подумаю насчёт L2TP, возможно, в будущем это будет лучше. Но пока мне нужно снова запустить мою текущую настройку. На большинстве удалённых объектов у меня есть резервная GSM-связь (сим-карта в контроллере). Когда я ставлю локальный IP сервера на контроллере, он подключается через туннель, но при этом теряется резерв GSM. Нужно настроить маршрутизируемый IP моего CRS на контроллере, чтобы GSM и интернет работали. Сейчас это невозможно из-за проблем с подключением к 192.168.1.1. Так что у меня есть выбор: интернет есть, но GSM-резерв нет (локальный IP сервера стоит на контроллере); или только GSM, очень медленный (маршрутизируемый IP CRS стоит на контроллере). Обычно, когда с интернетом проблемы, данные автоматически идут через GSM, а когда интернет возвращается — переключается обратно.

ZeroByte

Guest

24.03.2015 22:19:00

L2TP полностью решит эту проблему. Клиентское устройство будет использовать только внутренний IP сервера, а вы удалите NAT-проброс на главном сайте и повысите безопасность. L2TP настроят с использованием публичного IP главного сервера и парой логин/пароль. Главному сайту будет всё равно, с какого IP приходит соединение — с GSM отлично, с проводного интернета тоже нормально.

bart000

Guest

24.03.2015 22:58:00

Тоннель не соединяется через GSM. RB750 создаёт EOIP-тоннель к моему CRS, я делаю мост между тоннелем и портами ether2-5, и тогда моя локальная сеть и подсеть доступны на удалённом объекте через порты 2-5. На контроллере я прописываю его IP на Ethernet-порту (IP из моей локальной подсети) и IP сервера, к которому он должен подключаться. Я не могу зайти на 192.168.1.1, значит интернета нет. Но я могу получить доступ ко всей своей подсети (ко всем другим IP из подсети), то есть могу подключиться к серверу по его локальному IP. GSM — это совсем другой тип соединения, он не имеет отношения к туннелям. Он подключается напрямую через GSM-сеть, поэтому на контроллере надо прописать маршрутизируемый IP. Я могу подключиться к локальному IP через туннель или к маршрутизируемому IP через GSM-сеть. До того, как начались эти проблемы, у меня был интернет на всех удалённых объектах через тоннель и CRS. Я прописывал маршрутизируемый IP на контроллере, и контроллер подключался к серверу (маршрутизируемый IP CRS и переадресация портов) через интернет. Когда интернет на удалённом объекте перестал работать (нет туннеля, нет доступа к CRS и интернету), контроллер автоматически переключился и стал передавать данные через GSM-сеть.

ZeroByte

Guest

24.03.2015 23:50:00

«controller» — это же те самые устройства, которые ты поддерживаешь с помощью этой мостовой сети, верно? (Просто хочу убедиться, что правильно тебя понял.) Значит, когда ты переходишь на GSM, ты ставишь публичный IP на контроллер и настраиваешь доступ к серверу по какому-то публичному IP на основном сайте? То есть контроллер поддерживает уровень 3 — он не ограничен тем, что должен находиться в одной локальной сети с сервером? Есть ли причина (кроме технических особенностей большой мостовой сети), по которой весь интернет-трафик должен сначала идти на домашний сайт, а уже оттуда выходить в интернет? Ты мог бы настроить «anycast» на 192.168.1.1 — назначить этот адрес на КАЖДЫЙ RB750 и при этом заблокировать ARP-запросы к 192.168.1.1 с туннеля. Это создало бы разделённый туннель, когда интернет выходит напрямую через локальное соединение на всех объектах, а доступ к другим внутренним устройствам работает как обычно. И, наконец, если использовать L2TP-туннелирование, тогда 750-й может иметь публичный IP для GSM-соединения и просто создавать L2TP-туннель через GSM, когда обычный интернет падает. Как только обычный интернет восстанавливается, GSM-соединение отключается, а туннель переподключается через обычный интернет. Всё это происходит автоматически. Контроллер не заметит ничего, кроме изменения скорости и временной потери связи, пока туннель обнаруживает сбой и восстанавливается.

bart000

Guest

25.03.2015 06:54:00

«controller» — это именно те устройства, которые вы поддерживаете с помощью этой объединённой сети, верно? Да, вы правы. Это промышленный контроллер с аналоговыми и цифровыми входами и выходами для измерительных датчиков и управления другими устройствами.

Значит, когда вы используете GSM, вы назначаете контроллеру публичный IP и настраиваете его для доступа к серверу с каким-то публичным IP на главном объекте? Контроллер поддерживает уровень 3 — у него нет ограничения, что он должен находиться в одной локальной сети с сервером? Модем GSM встроен прямо в контроллер. Ни у модема, ни у Ethernet таких ограничений нет. Я просто задаю «server ip» и он пытается подключиться.

Сейчас, с этими проблемами, с которыми я сталкиваюсь, я могу пройти через локальный адрес по туннелю, потому что доступ в интернет перестал работать (раньше мог подключаться и через локальный, и через маршрутизируемый адрес). GSM подключается через сеть GSM, значит, на сервере должен быть настроен маршрутизируемый IP.

Есть ли какая-то причина (кроме технических последствий одной большой объединённой сети), по которой весь интернет-трафик должен идти через главный офис перед выходом в интернет? Да. Эти контроллеры не должны быть видны, доступны или обнаруживаемы напрямую из интернета. Одна из причин — данные, которые они собирают, и возможность удалённо управлять подключёнными к ним устройствами. Скоро мы будем добавлять IP-камеры на объектах, и они тоже не должны быть доступны из интернета.

Предпочтительно, чтобы на удалённом объекте был доступ и к локальной сети, и к интернету. Можно настроить «anycast» на 192.168.1.1 — назначить этот адрес на каждый RB750, а также заблокировать ARP-запросы к 192.168.1.1 через туннель. Это создаст разделённый туннель, при котором интернет-выход будет по локальному соединению на всех объектах, но доступ к внутренним хостам будет работать как обычно. Предпочтительно, чтобы данные всё же шли через туннель.

Наконец, если использовать L2TP-туннель, то 750 может получить публичный IP для GSM-соединения и просто установить L2TP-туннель через GSM в случае, если обычный интернет перестанет работать. Как только обычный интернет восстановится, GSM-соединение отключится, и туннель переподключится через обычный интернет. Всё это произойдёт автоматически. Контроллер не заметит разницы, кроме скорости и временных потерь связи, пока туннель обнаруживает сбой и восстанавливается.

Модем встроен в контроллер как неотъемлемая часть (сим-карта внутри контроллера). Routerboard не имеет доступа к GSM-соединению.

ZeroByte

Guest

25.03.2015 15:08:00

Хорошо, я подумал, что, может, у тебя на Mikrotik стоят GSM USB-модемы. В любом случае, похоже, придется прибегнуть к захвату пакетов. Если 192.168.1.1 не отвечает на ARP-запросы с удалённых участков, нужно понять, где именно процесс ломается — видишь ли ты запросы, которые идут через EoIP-туннель на участке? Поступают ли они через EoIP-туннель на главной площадке? Видишь ли ты ответ, который приходит с CSR на мост? Отправляется ли ответ через EoIP-туннель в режиме unicast на MAC-адрес отправителя? Захватывается ли ответ в EoIP-туннеле? И так далее — ARP-запросы где-то теряются. Найди место, где это происходит, и это поможет решить, что делать дальше.

«Глупые» моменты, которые стоит проверить перед более детальной отладкой: тип ARP на главном мосту не сменился на режим только прослушивания, случайно? И нет ли на бридж-файрволе фильтра, который блокирует, перенаправляет или мешает ARP-запросам или широковещательным пакетам с участков?

bart000 Guest	#9 0 25.03.2015 17:02:00 Я проверял больше десятка раз, чтобы убедиться, что ARP включён везде на каждом интерфейсе. Сегодня провёл пару тестов и пришёл к тому же выводу: ARP-запросы просто не доходят до CRS через мост или CRS на них не отвечает, поэтому я занялся анализом пакетов. Чтобы быть на 100% уверенным, настроил новый EOIP-туннель с моего домашнего роутера (RB751U) к CRS. На интерфейсе eoip-tunnel1 у меня настроен DHCP-клиент, и он получил IP от CRS. В разделе IP -> Routes вижу динамическую маршрутную запись, что сеть 192.168.1.0/24 доступна через eoip-tunnel1. Но пинг 192.168.1.1 не проходит, время ожидания истекает. Далее я сделал анализ пакетов на туннеле моего роутера. Вижу много ARP-пакетов без src и dst адресов с одним из MAC-адресов моих устройств, но ARP-запросов от моего роутера (у которого IP 192.168.1.8 от DHCP) нет. Почему ARP-запросы не идут через туннель (не проходят его), если подсеть доступна через него? Такое же происходит на всех RB750. «Use IP firewall» выключен на каждом мосту. Когда я добавляю статическую ARP-запись на роутере, доступ к 192.168.1.1 появляется. Но на контроллере так сделать нельзя. Когда делаю ip scan с CRS, ARP-запись появляется на моём роутере и остаётся, пока я пингу 192.168.1.1. Как только перестаю пинговать, запись исчезает и уже не появляется, и связь прерывается.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры