http://mikrotik.moscow Новое в теме OSPF, Wireguard и проблема множественных путей форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sat, 11 Apr 2026 03:28:47 +0300 OSPF, Wireguard и проблема множественных путей RouterOS в форуме RouterOS.
;-D Если проблема в сети не в DNS, то чаще всего дело в NAT. Шучу, конечно — спасибо за разъяснение! Простой шаг, но очень ВАЖНЫЙ, потому что его часто забывают.
05.08.2023 12:22:00, spippan.]]> http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422709 http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422709 Sat, 05 Aug 2023 12:22:00 +0300 RouterOS OSPF, Wireguard и проблема множественных путей RouterOS в форуме RouterOS.
Привет, Maxwell, рад слышать, что ты решил проблемы с сетью. В проекте предусмотрено, что сайты 1-3 из исходной схемы должны иметь доступ к публичному интернету напрямую, без прохода через главный офис. Поэтому трафик, не связанный с офисом, маскировался на публичных интерфейсах router1 и router3. Это привело к неожиданному эффекту: router1 смог установить соединение Wireguard через публичный интерфейс router3. Как только туннель поднимался, он тут же падал, и цикл повторялся, вызывая описанные выше постоянные сбои (flapping).

Ну, в общем, базовые принципы всегда одинаковы. Неважно, есть ли у тебя физический или виртуальный туннельный интерфейс на любом маршрутизаторе, или ты используешь полный IP-маршрутинг или сеть с NAT — стоимость пути и приоритет OSPF (то есть параметры OSPF) будут соответствовать сетевой архитектуре.

Да, netwatch — действительно полезный инструмент.
23.07.2023 06:42:00, wiseroute.]]> http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422708 http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422708 Sun, 23 Jul 2023 06:42:00 +0300 RouterOS OSPF, Wireguard и проблема множественных путей RouterOS в форуме RouterOS.
Проблема решена. Как это часто бывает, видимая причина на самом деле не была настоящей проблемой.

Буду краток, но надеюсь, что это кому-то пригодится в будущем. По проекту сайты 1-3 из исходной схемы должны иметь доступ в публичный интернет без прохождения через главный офис. Поэтому трафик, не связанный с офисом, маскировался на публичных интерфейсах router1 и router3.

Это неожиданно дало возможность router1 устанавливать Wireguard-соединение через публичный интерфейс router3. Как только туннель поднимался, он сразу падал, и цикл начинался заново, вызывая уже упомянутые флаппинги.

Решение простое: теперь я ограничил маскарадинг только локальными сетями клиентов на каждом сайте. Это означает, что маскарад больше не применяется к интерфейсам маршрутизаторов, подключенным к радиоканалам. Проблема решена.

Плюс к этому я изучил Netwatch — мощный инструмент.
20.07.2023 17:29:00, MaxwellSilver.]]> http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422707 http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422707 Thu, 20 Jul 2023 17:29:00 +0300 RouterOS OSPF, Wireguard и проблема множественных путей RouterOS в форуме RouterOS.
@Maxwell, я поменял приоритет роутера на площадке «D» на 64, но проблема всё та же. Нет-нет, 64 — это приоритет LTE-пути, у него стоит дефолтная стоимость = 500, а не приоритет роутера. Надеюсь, это поможет.
13.07.2023 20:26:00, wiseroute.]]> http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422706 http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422706 Thu, 13 Jul 2023 20:26:00 +0300 RouterOS OSPF, Wireguard и проблема множественных путей RouterOS в форуме RouterOS.
@wiseroute Спасибо, что нашли время написать эти лабораторные работы. Несколько недель меня не было на работе — пришлось решать горящие вопросы (в переносном смысле). Теперь я наконец возвращаюсь к этой проблеме. Извиняюсь за задержку с обратной связью. Вы правильно понимаете топологию, направление потоков данных и поведение системы при отказах в моей лабораторной сети.

Спасибо за идею установить приоритет роутера на маршрутизаторе D. Насколько я понимаю, настройка Priority в OSPF влияет на то, какой роутер станет Designated Router. Я изменил приоритет на сайте «D» на 64, но проблема осталась.

Возможно, я неправильно понял суть вашей лабораторной работы, если так — прошу прощения. Во время тестов я выяснил, что таймеры keep alive нужны только в случае, когда по интерфейсам Wireguard вообще нет трафика. А трафика OSPF достаточно, чтобы держать соединение активным. Это немного упрощает задачу.

Спасибо за разъяснения по Netwatch и Watchdog. Следовало внимательнее прочитать ваш пост. Сейчас я продолжаю работу над проблемой и собираюсь попробовать запускать скрипт через Netwatch, чтобы отключать интерфейс B-A ospf, когда он становится недоступен. Также планирую поэкспериментировать с правилами фаервола, чтобы отвергать трафик WG, который идет «в неправильную сторону».
13.07.2023 17:47:00, MaxwellSilver.]]> http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422705 http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422705 Thu, 13 Jul 2023 17:47:00 +0300 RouterOS OSPF, Wireguard и проблема множественных путей RouterOS в форуме RouterOS.
Описание проблемы: Три удалённых площадки подключены к Главному офису. Site1 и Site3 соединяются с Главным офисом через Wireguard. Site2 соединяется с Site1 и Site3 по радиолиниям и не имеет прямого доступа в публичный интернет. Это кольцевая топология в удалённой зоне; наличие нескольких путей в обе стороны — обязательное требование для обеспечения максимального времени безотказной работы передачи данных. Маршрутизация выполняется через OSPF. Линия между Site1 и Главным офисом — оптоволокно, поэтому стоимость OSPF = 10. Линия между Site3 и Главным офисом — через сотовый модем, поэтому стоимость OSPF = 500, чтобы сделать маршрут менее предпочтительным. OSPF работает как надо, если радиолиния между Site2 и одним из соседних сайтов падает; тогда альтернативный маршрут через Wireguard на WG-site3 активируется, и Site2 и/или Site3 остаются доступны по этому пути. Проблема возникает, когда падает связь между Site1 и Главным офисом. Маршрут через WG-site3 активируется примерно на 15 секунд, затем маршрут через WG-Site1 занимает место в таблице маршрутизации на ~35 секунд, после чего снова возвращается маршрут через WG-Site3. Такая ситуация повторяется бесконечно, вызывая постоянное переключение и нерабочее состояние. Когда маршрут через WG-site3 становится активен, WG-site1 считает, что связь восстановлена, так как удалённая сторона Wireguard-соединения доступна через маршрут через WG-site3. Такого поведения при использовании IPsec для VPN не наблюдается. Я считаю, что причина в том, что интерфейсы Wireguard считаются активными (running) вне зависимости от наличия реально работающей сессии с пэром. Кажется, здесь должна быть рабочая схема решения, но пока её не удалось найти. Хочется продолжать использовать Wireguard, поскольку производительность лучше, особенно при плохом соединении, например, через сотовые модемы. Конфигурация приведена ниже. Заранее спасибо за советы и предложения.

Конфигурация роутера Главного офиса:

/interface wireguard add listen-port=13230 mtu=1420 name=WG-site1  
/interface wireguard add listen-port=13229 mtu=1420 name=WG-site3  
/interface wireguard peers add allowed-address=0.0.0.0/0 comment=site1 endpoint-port=13230 interface=WG-site1 persistent-keepalive=30s public-key=""  
/interface wireguard peers add allowed-address=0.0.0.0/0 comment=site3 endpoint-port=13229 interface=WG-site3 persistent-keepalive=30s public-key=""

/routing ospf interface-template add area=backbone cost=10 disabled=no interfaces=WG-site1 networks=10.10.128.0/30 type=ptp  
/routing ospf interface-template add area=backbone cost=500 disabled=no interfaces=WG-site3 networks=10.10.128.4/30 type=ptp

/ip address add address=10.10.128.1/30 interface=WG-site1 network=10.10.128.0/30  
/ip address add address=10.10.128.5/30 interface=WG-site3 network=10.10.128.4/30  

Конфигурация роутера Site1:

/interface wireguard add comment="WG to Main Office" listen-port=13230 mtu=1420 name=wireguard1  
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=192.168.10.1 endpoint-port=13230 interface=wireguard1 persistent-keepalive=30s public-key=""

/routing ospf interface-template add area=backbone-v2 cost=10 disabled=no interfaces=wireguard1 networks=10.10.128.0/30 type=ptp  
/ip address add address=10.10.128.2/30 interface=wireguard1 network=10.10.128.0/30  

Конфигурация роутера Site3:

/interface wireguard add comment="WG to Main Office" listen-port=13229 mtu=1420 name=wireguard1  
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=192.168.20.1 endpoint-port=13229 interface=wireguard1 persistent-keepalive=30s public-key=""

/routing ospf interface-template add area=backbone-v2 cost=500 disabled=no interfaces=wireguard1 networks=10.10.128.4/30 type=ptp  
/ip address add address=10.10.128.6/30 interface=wireguard1 network=10.10.128.4/30
05.06.2023 21:19:00, MaxwellSilver.]]> http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422704 http://mikrotik.moscow/forum/forum57/88026-ospf_-wireguard-i-problema-mnozhestvennykh-putey/message422704 Mon, 05 Jun 2023 21:19:00 +0300 RouterOS