+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

GRE-туннель с интерфейсом в качестве шлюза

GRE-туннель с интерфейсом в качестве шлюза, RouterOS

findcoop

Guest

17.02.2022 20:39:00

Всем привет! Уже долго бьюсь, чтобы это заработало, и надеюсь, вы поможете. У меня есть один Ethernet-кабель с двумя L3 VLAN, и я проверил — уровень 2/3 работает как нужно. Я определяю GRE-туннель по удалённому IP-адресу и создал статический маршрут для GRE Remote через следующий хоп второго VLAN. Хочу сделать так, чтобы маршрут по умолчанию шёл через GRE-туннель, но для туннеля нет следующего хопа. Провайдер позволяет ставить любой исходный адрес, но по туннелю никуда IP не направить. Поэтому приходится использовать interface=GRE_Tunnel для маршрута. Единственная проблема — в таблице маршрут помечен как недоступный, и трафик по туннелю не идёт. Есть идеи, как это исправить? Спасибо.

/ip address print
Flags: X - отключён, I - недействительный, D - динамический
0 192.168.0.4/23 192.168.0.0 vlan20
1 192.168.31.2/24 192.168.31.0 vlan31
2 192.168.32.2/24 192.168.32.0 vlan32
3 172.16.1.1/30 172.16.1.0 GRE_Tunnel

/ip route print detail
Flags: X - отключён, A - активен, D - динамический, C - подключен, S - статический, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - недоступен, P - запрещён
0 S dst-address=0.0.0.0/0 gateway=GRE_Tunnel gateway-status=GRE_Tunnel unreachable distance=10 scope=30 target-scope=10
1 A S dst-address=<**GRE-REMOTE-IP**> gateway=192.168.32.1 gateway-status=192.168.32.1 reachable via vlan32 distance=1 scope=30 target-scope=10
2 DC dst-address=172.16.1.0/30 pref-src=172.16.1.1 gateway=GRE_Tunnel gateway-status=GRE_Tunnel unreachable distance=255 scope=10
3 A S dst-address=192.168.0.0/16 gateway=192.168.31.1 gateway-status=192.168.31.1 reachable via vlan31 distance=1 scope=30 target-scope=10
4 ADC dst-address=192.168.0.0/23 pref-src=192.168.0.4 gateway=vlan20 gateway-status=vlan20 reachable distance=0 scope=10
5 ADC dst-address=192.168.31.0/24 pref-src=192.168.31.2 gateway=vlan31 gateway-status=vlan31 reachable distance=0 scope=10
6 ADC dst-address=192.168.32.0/24 pref-src=192.168.32.2 gateway=vlan32 gateway-status=vlan32 reachable distance=0 scope=10

findcoop

Guest

04.04.2022 17:29:00

Я не могу пропинговать ничего внутри туннеля. Принимается только TCP/UDP трафик. Я вижу, что GRE keepalives обмениваются с другой стороной, но не могу понять, как заставить трафик идти при недоступном маршруте. Коллега предложил посмотреть в сторону FW/Mangle + Routing Marks, чтобы как-то обойти недоступность. Есть другие идеи?

sindy Guest	#3 0 04.04.2022 20:19:00 Тоннель отображается как работающий в выводе /interface gre print? Потому что не вижу других причин, почему маршрут с GRE_Tunnel в качестве шлюза должен быть недоступен (шлюз недостижим).

pe1chl

Guest

04.04.2022 20:58:00

Поясни, пожалуйста, чуть подробнее, как именно здесь задействован GRE-туннель. Ты говоришь про «моего провайдера», но это интернет-провайдер, который просто передаёт пакеты туннеля, или у тебя есть какой-то другой провайдер, где этот GRE-туннель заканчивается? В любом случае, не должно иметь значения, какой IP у туннеля. Можно вообще настроить любой случайный подсет, например 10.0.0.1/30 на своём туннельном интерфейсе, а затем маршрутизировать пакеты через шлюз 10.0.0.2 (то есть другой адрес того же /30 подсета). Тогда роутер отправит пакеты в туннель, и, как предполагается, другая сторона их примет. Так как в GRE-туннеле нет протокола разрешения адресов, это должно работать. Но сначала убедись, что ты понимаешь: адреса, которые ты устанавливаешь на туннельном интерфейсе (локальный и удалённый), никак не связаны с IP-адресом, назначенным концам туннеля.

findcoop

Guest

05.04.2022 13:37:00

Спасибо за ответы. Да, я вижу интерфейс с помощью команды /interface gre print, смотрите вывод ниже. Когда я привязываю IP-адрес к GRE-интерфейсу, а потом захожу в IP \ Routes, подключенная сеть для GRE отображается как недоступная. Я использовал 172.16.1.3/30 для локального интерфейса. Определил маршрут по умолчанию через 172.16.1.2, и он тоже показывает статус недоступен. Насколько я понимаю логику маршрутизации Mikrotik, он не считает недоступные маршруты валидными целями и сбрасывает пакет.

> /interface gre print
Flags: X - отключено, R - работает
0 name="GRE-Tunnel" mtu=1476 actual-mtu=1476 local-address=0.0.0.0 remote-address=111.116.130.222 keepalive=5s,3 dscp=inherit
clamp-tcp-mss=yes dont-fragment=inherit allow-fast-path=yes

> /ip address print
Flags: X - отключено, I - недействительно, D - динамично
# ADDRESS NETWORK INTERFACE
0 192.168.0.4/23 192.168.0.0 vlan20
1 192.168.31.2/24 192.168.31.0 vlan31
2 192.168.32.2/24 192.168.32.0 vlan32
3 172.16.1.3/30 172.16.1.0 GRE-Tunnel

> /ip route print detail
Flags: X - отключено, A - активно, D - динамично, C - подключено, S - статично, r - rip, b - bgp, o - ospf, m - mme, B - черная дыра, U - недоступно, P - запрещено
0 S dst-address=0.0.0.0/0 gateway=172.16.1.2 gateway-status=172.16.1.2 unreachable check-gateway=ping distance=1 scope=30 target-scope=10
1 A S dst-address=111.116.0.0/16 gateway=192.168.32.1 gateway-status=192.168.32.1 reachable via vlan32 distance=1 scope=30 target-scope=10
2 DC dst-address=172.16.1.0/30 pref-src=172.16.1.3 gateway=GRE-Tunnel gateway-status=GRE-Tunnel unreachable distance=255 scope=10
3 A S dst-address=192.168.0.0/16 gateway=192.168.31.1 gateway-status=192.168.31.1 reachable via vlan31 distance=1 scope=30 target-scope=10
4 ADC dst-address=192.168.0.0/23 pref-src=192.168.0.4 gateway=vlan20 gateway-status=vlan20 reachable distance=0 scope=10
5 ADC dst-address=192.168.31.0/24 pref-src=192.168.31.2 gateway=vlan31 gateway-status=vlan31 reachable distance=0 scope=10
6 ADC dst-address=192.168.32.0/24 pref-src=192.168.32.2 gateway=vlan32 gateway-status=vlan32 reachable distance=0 scope=10

pe1chl Guest	#6 0 05.04.2022 13:53:00 Можешь попробовать два варианта: установить локальный адрес (там, где сейчас стоит 0.0.0.0) равным адресу роутера в интернете или убрать проверку keepalive.

sindy Guest	#7 0 05.04.2022 17:34:00 Вывод показывает, что RouterOS считает туннельный интерфейс неактивным. Когда активирован keepalive, туннельный интерфейс признаётся неактивным, если в течение определённого времени не получает пакетам. Точнее, недоступные маршруты игнорируются, поэтому пакет отбрасывается только в том случае, если нет другого маршрута, подходящего по адресу назначения пакета. Именно так и происходит здесь, когда недоступный маршрут — это маршрут по умолчанию. Важно, что ни один из собственных IP-адресов роутера не является публичным, значит между вашим Mikrotik и удалённым GRE-пиром есть NAT. GRE не поддерживает понятие портов, поэтому некоторые NAT плохо работают с GRE, и keepalive «ответы» от GRE-пира могут вообще не доходить до вашего Mikrotik.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры