+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблемы с VRRP

Проблемы с VRRP, RouterOS

phuney

Guest

13.04.2022 14:19:00

Мы регулярно использовали VRRP в наших сетях для автоматического переключения при отказе, и это отлично работает. Недавно у нас был случай с установкой, где у нас есть CCR1009-7G-1C-1S+ (MTik01) и RB1100AHx2 (MTik02) (да, я знаю, не идеально повторно использовать старое оборудование, но ситуация заставила использовать то, что было под рукой). Используя привычные настройки, эти два MikroTik’а могут общаться, но каждый сам назначает себя Мастером в VRRP и забирает на себя выделенный VRRP IP-адрес. Я попробовал несколько разных вариантов настройки, но пока без успеха. Может ли это быть проблемой несовместимости моделей железа, и такой вариант просто не будет работать?

Ниже приведён фрагмент конфигурации.

MTik01
/ip address
add address=10.1.0.2/24 comment="LAN IP" interface=ether1 network=10.1.0.0
add address=10.3.0.2/24 comment="WiFi IP" interface=ether2 network=10.3.0.0
add address=10.1.0.1/24 comment="VRRP: LAN IP" interface=vrrp_lan network=10.1.0.0
add address=10.3.0.1/24 comment="VRRP: WiFi IP" interface=vrrp_wifi network=10.3.0.0

/interface vrrp
add comment="WiFi VRRP" interface=ether2 name=vrrp_wifi priority=150 vrid=200
add comment="LAN VRRP" interface=ether1 name=vrrp_lan priority=150 vrid=100

MTik02
/ip address
add address=10.1.0.3/24 comment="LAN IP" interface=ether1 network=10.1.0.0
add address=10.3.0.3/24 comment="WiFi IP" interface=ether2 network=10.3.0.0
add address=10.1.0.1/24 comment="VRRP: LAN IP" interface=vrrp_lan network=10.1.0.0
add address=10.3.0.1/24 comment="VRRP: WiFi IP" interface=vrrp_wifi network=10.3.0.0

/interface vrrp
add comment="WiFi VRRP" interface=ether2 name=vrrp_wifi priority=100 vrid=200
add comment="LAN VRRP" interface=ether1 name=vrrp_lan priority=100 vrid=100

phuney

Guest

27.04.2022 17:29:00

Вот что на самом деле настроено — несколько DSTNAT/SRCNAT для публичных IP и DHCP-сетей. Эта конфигурация такая же, как на других MikroTik-устройствах/сайтах и никаких проблем с VRRP не вызывает. Единственное отличие — MTik01 это CCR1009, а MTik02 — RB1100AHx2. Я добавил входящий интерфейс для VRRP, который должен был увеличиваться, но оба роутера продолжали назначать статус RM.

MTik01
/ip address
add address=10.1.0.2/24 comment="LAN IP" interface=ether1 network=10.1.0.0
add address=10.3.0.2/24 comment="WiFi IP" interface=ether2 network=10.3.0.0
add address=10.1.0.1 comment="VRRP: LAN IP" interface=vrrp_lan network=10.1.0.0
add address=10.3.0.1 comment="VRRP: WiFi IP" interface=vrrp_wifi network=10.3.0.0

/interface vrrp
add comment="WiFi VRRP" interface=ether2 name=vrrp_wifi priority=150 vrid=200
add comment="LAN VRRP" interface=ether1 name=vrrp_lan priority=150 vrid=100

/ip firewall filter
add action=accept chain=input protocol=vrrp
add action=drop chain=forward comment="Clients<!>Client: Drop" in-interface-list=Client out-interface-list=Client
add action=drop chain=input dst-port=80,21,22,23,2222,8291,443,8728,8729 protocol=tcp src-address-list=!Trusted
add action=drop chain=input dst-port=161 protocol=udp src-address-list=!Trusted

/ip service set
telnet disabled=yes
ftp disabled=yes
api disabled=yes
api-ssl disabled=yes

MTik02
/ip address
add address=10.1.0.3/24 comment="LAN IP" interface=ether1 network=10.1.0.0
add address=10.3.0.3/24 comment="WiFi IP" interface=ether2 network=10.3.0.0
add address=10.1.0.1 comment="VRRP: LAN IP" interface=vrrp_lan network=10.1.0.0
add address=10.3.0.1 comment="VRRP: WiFi IP" interface=vrrp_wifi network=10.3.0.0

/interface vrrp
add comment="WiFi VRRP" interface=ether2 name=vrrp_wifi priority=100 vrid=200
add comment="LAN VRRP" interface=ether1 name=vrrp_lan priority=100 vrid=100

/ip firewall filter
add action=accept chain=input protocol=vrrp
add action=drop chain=input dst-port=80,21,22,23,2222,8291,443,8728,8729 protocol=tcp src-address-list=!Trusted
add action=drop chain=input dst-port=161 protocol=udp src-address-list=!Trusted

/ip service set
telnet disabled=yes
ftp disabled=yes
api disabled=yes
api-ssl disabled=yes

В общем, конфиг идентичен другим, только железо немного отличается, и VRRP почему-то не пашет, как ожидалось — оба роутера всё время в режиме RM, хотя приоритеты разные.

tdw Guest	#3 0 27.04.2022 18:19:00 Как они на самом деле между собой соединены — мостами или внешними свитчами? Нельзя просто так соединить MTik01 ether1 с MTik02 ether1, и аналогично MTik01 ether2 с MTik02 ether2, если больше ничего не подключено.

phuney

Guest

27.04.2022 19:17:00

Между ними стоит коммутатор. VLAN 100 — это управление локальной сетью, VLAN 101 — управление Wi-Fi. VLAN настроены правильно между фаерволами. Подтверждено, что они видят друг друга через neighbors и могут пинговать локальные IP друг друга. Например, если отключить VRRP на MTik02, он всё равно пингует и видит MTik01 с правильным IP-адресом, заканчивающимся на .1.

savage

Guest

28.04.2022 05:03:00

Проверьте настройки коммутаторов и VLAN. VRRP отправляет широковещательный пакет, если мастер передаёт пакет, а слейв его не получает, слейв становится мастером. Это действительно единственный способ, как слейв может повысить себя до мастера. Либо между роутерами нет связи на интерфейсах, где вы настроили VRRP, либо конфигурации не совпадают. Один роутер не видит другой, и наоборот. Видят ли роутеры друг друга на втором уровне? Есть ли, например, ARP-записи для соседних роутеров?

phuney

Guest

28.04.2022 13:20:00

Да. Я подтвердил, что оба маршрутизатора видят друг друга на уровне 2 и отображаются в списках соседей друг друга. VLAN на коммутаторах настроены правильно. Согласен, похоже, что маршрутизаторы не общаются по VRRP, но насколько я могу судить, в конфигурации всё в порядке. Как я уже упоминал, MikroTik настроены точно так же, как и другие MikroTik в других местах, где VRRP прекрасно работает. То же касается конфигураций коммутаторов. Единственная разница в том, что у нас есть CCR1009 и RB1100AHx2. Мне всё время было интересно, не связано ли это с аппаратной несовместимостью между этими двумя устройствами, которая мешает им нормально работать.

tdw

Guest

28.04.2022 13:42:00

Модель не должна влиять, если только в версии RouterOS, которую вы используете на этих архитектурах, нет какой-то ошибки. Можно воспользоваться анализатором пакетов, чтобы проверить, получает ли каждая из них VRRP-пакеты от другой, и правильно ли они содержат данные (пакеты достаточно маленькие, чтобы их можно было разобрать вручную, или передать вывод анализатора пакетов в Wireshark или что-то подобное).

phuney

Guest

28.04.2022 20:20:00

Используя инструмент Packet Tracer на обоих MikroTik’ах, я вижу, что ни один из них не принимает VRRP-пакеты; оба только отправляют, что кажется странным, потому что счётчик входящих VRRP в фильтре увеличился при добавлении, хоть и медленно. Это подтверждает то, что мы обсуждали, но я всё ещё не понимаю, где именно затык. Я также проверил конфигурацию коммутатора и там вроде всё в порядке, но продолжу копаться и в MikroTik’ах, и в коммутаторе.

tdw Guest	#9 0 28.04.2022 20:43:00 Переключение между двумя Mikrotik'ами такое же, как у вас где-то ещё? Может, идет фильтрация мультикаста, из-за чего VRRP перестаёт работать.

Kindis Guest	#10 0 28.04.2022 21:06:00 Должно быть, дело в переключателях, как я думаю. Какой у них бренд?

phuney

Guest

#11

29.04.2022 15:07:00

Спасибо всем за ответы. В итоге вчера обнаружил проблему глубже в коммутаторе. Для этого сайта был включён IGMP Snooping, который по умолчанию применялся ко всем настроенным VLAN. Как только я это исправил, VRRP между двумя MikroTik начал нормально работать.

Kindis Guest	#12 0 29.04.2022 22:01:00 Отличные новости, да ещё и в пятницу!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры