Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

VRRP Mikrotik.

Мое интенсивное изучение Микрота подошло к концу.

Что еще хотел посмотреть в Микроте? – Да еще много чего хотел посмотреть… Но далее уже все неспешно и постепенно, уже в продакшине.

Сегодня про VRRP на нем.

Для начала немного политинформации:

http://xgu.ru/wiki/VRRP

https://wiki.mikrotik.com/wiki/Manual:Interface/VRRP

https://wiki.mikrotik.com/wiki/Manual:VRRP-examples

Далее набросал вот такую схему:

Что у меня на входе:

— Один провайдер.

— Два Микрота (мастер и слейв).

Необходимо настроить отказоустойчивый доступ в интернет, как по каналам, так и по железу на этих каналах.

 

Первичная настройка оборудования.

8.8.8.8/24 (сэмулирую Гугл)

ISP.

Master.

Пропишем дефолтный маршрут.

Настроим srcnat

Slave.

Настроим srcnat

Маршрутизатора у нас два, соответственно должно быть два DHCP Server, на случай выхода из стоя одного из маршрутизаторов, настроим их.

Master.

Slave (по аналогии).

Он уже получил адрес от основного DHCP, удалим его

Так как нам необходимо, чтобы Slave раздавал адреса только тогда, когда потухнет Master, делаем вот такую настройку (задержку на 10 секнд)

Осталось настроить комп в Lan.

Здесь видно, что адрес в нужной подсети благополучно получен. Соответственно теперь должен появиться лиз на мастере

и не появиться, на слейве.

Все так и есть, это то, что надо.

Осталось настроить непосредственно VRRP.

Master.

Добавим адрес общего шлюза (в моем случае это 192.168.0.1/24):

После того, как задали ip адрес, видим, что VRRP «поднялся» и буквы RM нам говорят, что это (Running Master).

На Slave (по аналогии).

VRID— идентификатор группы роутеров или идентификатор виртуального роутера.
priority- роутер с большим приоритетом будет выбран основным(Master), а с меньшим резервным(Slave, backup)
По умолчанию приоритет 100, поэтому на втором роутере его можно не менять.

Также задаем ему IP:

Как видно, на Slave, он красный

И буква B, говорит нам о том, что это Backup.

Попробуем «потушить» интерфейс на Мастере и взглянем, как это будет меняться:

Бэкап стал Мастером.

Вероятно все работает.

Осталось перенастроить шлюз на DHCP серверах и еще раз посмотреть, как это будет.

Master.

Slave.

Лиз у меня минута, комп должен переполучить новый шлюз, проверю.

Так и есть, видим, что DHCP у меня раздает Мастер маршрутизатор. Проверим доступность 8.8.8.8.

Теперь сэмулирую падение Мастера («тушу» на нем интерфейс ether2).

Снова проверяем с компа.

Видно, что IP сменился и DHCP сервером уже выступает Slave. Проверю доступность интернета.

Интернет доступен, как видно, все теперь идет через Slave маршрутизатор.

Slave соответственно стал Master-ом.

А это именно, то, что нужно, отказоустойчивость полностью обеспечена, все работает.

Всем хорошей работы!!!

29.10.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Оставьте комментарий

Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP.

Наконец дошли руки посмотреть интеграцию с Cisco. GRE_ipsec за NAT так и не заработал, решили посмотреть схему IP_ipsec (IP-IP).

Для понимания процесса читаем здесь: http://xgu.ru/wiki/Cisco_IOS_Site-to-Site_VPN

До сего момента я никогда ранее не пробовал строить такие туннели, наткнулся вот на этот пост и решил попробовать:

https://habr.com/ru/post/151951/

Спасибо автору, за понятный, а главное, рабочий вариант.

Набросал вот такую схему в GNS3.

Сначала попробую настроить туннель с Микротиком с белым IP, затем с Микротиком за NAT.

Настроим Cisco.

Cisco_head(config-if)#ip address 77.77.77.226 255.255.255.0

Cisco_head(config-if)#no shutdown

Cisco_head(config-if)#

*Mar  1 00:12:08.019: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

*Mar  1 00:12:09.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Cisco_head(config)#exit

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#interface fastEthernet 0/1

Cisco_head(config-if)#ip address 10.192.0.1 255.255.252.0

Cisco_head(config-if)#no shutdown

Cisco_head(config-if)#exit

Cisco_head(config)#

*Mar  1 00:16:26.039: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

*Mar  1 00:16:27.039: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

Cisco_head(config)#exit

Cisco_head#

*Mar  1 00:16:32.151: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

Пропишем статический маршрут в нашу сеть филиала:

Cisco_head(config)#ip route 88.88.88.0 255.255.255.0 fastEthernet 0/0

Добавим в конфиг:

! Политика авторизации — хеш мд5 и шифрование 3des по парольному ключу (pre-share)

crypto isakmp policy 20

encr 3des

hash md5

authentication pre-share

! group2 означает, что в микротике надо установить dh-group=modp1024

group 2

! Сам ключ

crypto isakmp key MyPassWord address 88.88.88.2 no-xauth

crypto isakmp keepalive 30

! Трансформ. Внимание! Используется transport, а не tunnel режим

crypto ipsec transformset transform-2 esp-3des espmd5-hmac

 mode transport

crypto dynamic-map dynmap 10

set transform-set transform-2

 reverse-route

 crypto map vpnmap client configuration address respond

 crypto map vpnmap 5 ipsec-isakmp dynamic dynmap

 crypto map vpnmap 10 ipsec-isakmp

! криптомапа микротика

crypto map vpnmap 93 ipsecisakmp

description Mikrotik_Local

! ip микротика

set peer 88.88.88.2

set security-association lifetime seconds 86400

set transform-set transform-2

! pfs group2 означает, что в микротике надо установить dh-group=modp1024

set pfs group2

! access-лист, разрешающий соединение

match address 137

! Сам тоннель (здесь указываем наш внешний интерфейс)

interface Tunnel93

description tunnel_Mikrotik

ip unnumbered FastEthernet0/0

! Цискин адрес

tunnel source 77.77.77.226

! Адрес микрота

tunnel destination 88.88.88.2

! тип тонеля ipip

tunnel mode ipip

! Наружный интерфейс

interface FastEthernet0/0

description Internet

ip address 77.77.77.226 255.255.255.224

no ip redirects

no ip unreachables

no ip proxy-arp

ip wccp web-cache redirect out

ip virtual-reassembly

ip route-cache policy

no ip mroute-cache

duplex auto

speed auto

no mop enabled

! ВКЛЮЧАЕМ ШИФРОВАНИЕ НА ИНТЕРФЕЙСЕ

crypto map vpnmap

! Роутинг сети, находящейся за микротиком

ip route 192.168.88.0 255.255.255.0 Tunnel93

! Разрешение на соединение тоннеля

access-list 137 permit ip host 77.77.77.226 host 88.88.88.2

Зададим MTU:

https://habr.com/ru/post/226807/

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#interface tunnel93

Cisco_head(config-if)#mtu 1460

% Interface Tunnel93 does not support adjustable maximum datagram size

Cisco_head(config-if)#exit

Cisco_head(config)#exit

Cisco_head#

*Mar  1 02:12:54.603: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

Зададим IP на туннельном интерфейсе:

Cisco_head#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cisco_head(config)#interface tunnel93

Cisco_head(config-if)#ip address 10.33.0.1 255.255.255.0

Cisco_head(config-if)#no shutdown

Cisco_head(config-if)#exit

Cisco_head(config)#exit

Cisco_head#

*Mar  1 02:27:29.947: %SYS-5-CONFIG_I: Configured from console by console

Cisco_head#wr

! Роутинг сети, находящейся за микротиком сразу поправим на IP нашего туннельного интерфейса.

no ip route 192.168.88.0 255.255.255.0 Tunnel93

ip route 192.168.88.0 255.255.255.0 10.33.0.1

 

Со стороны Микрота (бранч).

Здесь же сразу пропишем руками статический маршрут в Головной офис:

Интерфейсы-IP Tunnel. Добавить:

На циске MTU выставили 1460, здесь соответственно выставляем тоже самое.

В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5!

IP-IPSec-Peers. Добавить:

В Profiles правим:

Профиль в предыдущем шаге у нас выбран дефолтный, соответственно здесь правим дефолтный.

Все настройки должны быть согласованы с циской на другой стороне:

Если это так, то должна подняться сессия:

И автоматически сгенерируются политики:

IP-Routes. Добавим:

Для более детального логирования добавим:

После этого можно заглянуть обратно в IP-IPSec, закладка Instaled SAs, и вы должны увидеть, что байты бегут по туннелю в обе стороны:

В итоге, у нас со стороны микрота получились следующие маршруты:

Проверим MTU со стороны Микрота (запингуем внутреннюю сетку головы большими пакетами):

Пакеты пролазят-это радует.

Для верности посмотрим, что у нас от компа до компа:

В целом все так, как должно быть.

На этом настройка закончена, но самое интересное, сделать все тоже самое за NAT.

Но это уже тема следующего повествования…

Всем хорошей работы!!!

P.S. В продакшине оказалось не все так гладко, как на стенде. В Голове у нас стоят маршрутизаторы Cisco ISR 4331, туннель никак не хотел «подниматься», оказалось все дело в прошивке, пришлось их обновлять до последних прошивок. Все сложилось не так гладко, как хотелось бы, но сложилось. Еще раз благодарю Рому и Стаса за подробные разъяснения по некоторым, непонятным для меня вопросам (а их было не мало), по теме. В настоящий момент в продакшин введено уже два Микрота пока с белыми адресами. Две недели, полет нормальный… Будем посмотреть, как события будут развиваться дальше….

22.10.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Cisco-Mikrotik IP-IP. Туннель с Микротиком с белым IP. отключены

OSPF Mikrotik. Многозонная конфигурация.

В прошлом посте рассмотрел: OSPF Mikrotik. Конфигурация с одной зоной.

Сегодня имеет смысл вспомнить про Многозонную конфигурацию.

Когда у нас много разных подсетей и разные маршруты, необходимо точно уметь рассчитать адресацию, для меня полезны следующие ресурсы:

Калькулятор сети: https://ru.adminsub.net/ipv4-subnet-calculator

Классная табличка, которую можно просто выучить наизусть: https://www.aelius.com/njh/subnet_sheet.html

И разъяснения: http://admindoc.ru/1041/subnetting-razbienie-seti-na-podseti-summarizatsiya-nahozhdenie-adresa-seti-i-shirokoveshhatelnogo-adresa/

Настроим OSPF c несколькими областями, как показано на рисунке.

Если в этой схеме прописывать маршруты руками (статику), то придется прописать примерно 26 статических маршрутов (по 4 на каждом роутере, и по 5 на каждом компе)-ЭТО НЕ ЕСТЬ ХОРОШО.

Задача: сделать так, чтоб на каждом роутере были все маршруты автоматически все подсети.

Главной считается корневая (backbone area), имеющая номер 0, именно с ней мы работаем, когда настраиваем OSPF для одной зоны. В случае использования нескольких зон, использование корневой зоны обязательно, остальные же зоны подключаются к ней и называются regular area. Это означает, что мы имеем двухуровневую иерархию: корневая зона и все остальные.

Моя схема трансформируется вот в такую:

Конфигурации у меня следующие.

R3.

R2.

R4.

Сделаем трассировку на вот этом участке:

Она закономерна…

Настраиваем экземпляры и ip адреса, как делали это выше. Дальше нам нужно создать области.

Для маршрутизатора R1. Заходим в Routing-OSPF вкладка Areas, нажимаем кнопку добавить и добавляем новую область area1 c Area ID 0.0.0.1

R1.

Настраиваем префиксы в соответствии с нашей схемой:

Область backbone

Область Area1

Должно получиться следующее:

Конфигурация маршрутизатора R2:

По такой же схеме настраиваем R3:

/routing ospf area> add name=area1 area-id=0.0.0.1

/routing ospf area> ..

/routing ospf> network

/routing ospf network> add network=10.1.1.0/30 area=area1

R4:

/routing ospf area> add name=area2 area-id=0.0.0.2

/routing ospf area> ..

/routing ospf> network

/routing ospf network> add network=10.1.2.0/30 area=area2

Настройка маршрутов.

После настройки всех роутеров, проверим таблицу маршрутизации. Подключимся к роутеру R3 и наберем команду в консоли:

ip route print

Как видно, удаленные сети 172.16.0.0/16 и 192.168.2.0/24 не входят в таблицу маршрутизации, поскольку они не распространяются OSPF. Функция перераспределения позволяет различным протоколам маршрутизации обмениваться информацией о маршрутизации, что позволяет, например, перераспределять статические или связанные маршруты в OSPF. В нашей настройке нам необходимо перераспределить подключенную сеть. Нам нужно добавить следующую конфигурацию на маршрутизаторах R1, R2 и R3.

Создадим loopback бриджи на всех роутерах, так же повесим на них IP: 10.255.255.1,2,3,4 (в зависимости от роутера)

Правим инстансы на всех роутерах:

R1.

Заходим в меню Routing – OSPF, вкладка instance, кликаем 2 раза экземпляру default и меняем Redistribute Connected Routes на as type 1

Или даем команду в консоли: /routing ospf instance> set 0 redistribute-connected=as-type-1

R2.

R3.

R4.

На каждом маршрутизаторе должны увидеть следующую таблицу:

Динамические маршруты тоже прилетели.

В логах:

Пустим трассировку с нашего одного крайнего компа, до другого крайнего компа:

Как видно, все работает:

А это как раз, то что требовалось.

Всем хорошей работы!!!

17.10.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи OSPF Mikrotik. Многозонная конфигурация. отключены