https://opennet.ru/openforum/vsluhforumID1/97073.html Всем привет.<br><br>Итак, имеем три виртуальных FreeBSD на KVM (Proxmox VE), две из них соединены туннелем, промежуточная работает "интернетом" (за схему извините):<br><br><br>(11.11.11.11/24) em1 &#124; (gre0 10.0.0.1/30 &#124; em0 1.1.1.2/24) server1 -- gateway -- server2 (em0 2.2.2.2/24 &#124; gre0 10.0.0.2/30) &#124; em1 (22.22.22.22/24)<br><br><br>На "серверах" gateway_enable=YES, frr_enable=YES, натянут туннель GRE с маской /30, концы пингуются с обеих сторон, статические маршруты через туннель работают, IPsec между внешними интерфейсами натянут в транспортном режиме. Стоит включить zebra с ospfd - и начинается магия:<br><br> * hello идут подряд по несколько штук в одну сторону, ответные же приходят примерно через dead interval секунд (хотя второй роутер в это время так же шлёт свои подряд в туннель, так же не получая hello от первого, пока не пройдёт dead interval);<br> * таблицы маршрутов, соответственно, обновляются невовремя, а также роутеры пропадают друг у друга из соседей;<br> * пинги до lan за туннелем вообще не https://opennet.ru/openforum/vsluhforumID1/97073.html#7 Fri, 15 Dec 2017 05:53:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; туннель же...<br>&gt;&gt; Короче, выбросить из ОСПФ-а "внешние" сети/адреса <br>&gt;&gt; em0 1.1.1.2/24 <br>&gt;&gt; и <br>&gt;&gt; em0 2.2.2.2/24 <br>&gt;&gt; И вся ваша "магия" закончится :) <br>&gt;&gt; Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ" <br>&gt;&gt; И циска в лог даже специально фразу по этому поводу пишет...<br>&gt; Огромное спасибо! Пока всё работает идеально, пинги ходят, а также hello здорового <br>&gt; человека. Очень жаль, что не копнул сам и не догадался.<br><br>Всегда пожалуйста :)<br><br> https://opennet.ru/openforum/vsluhforumID1/97073.html#6 Fri, 15 Dec 2017 05:52:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; туннель же...<br>&gt;&gt; Короче, выбросить из ОСПФ-а "внешние" сети/адреса <br>&gt;&gt; em0 1.1.1.2/24 <br>&gt;&gt; и <br>&gt;&gt; em0 2.2.2.2/24 <br>&gt;&gt; И вся ваша "магия" закончится :) <br>&gt;&gt; Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ" <br>&gt;&gt; И циска в лог даже специально фразу по этому поводу пишет...<br>&gt; Огромное спасибо! Пока всё работает идеально, пинги ходят, а также hello здорового <br>&gt; человека. Очень жаль, что не копнул сам и не догадался.<br><br>Если бы keepalive на туннеле добавили (только чтоб он падал быстрее, чем дединтервал ОСПФ), то увидели бы что туннель уходит в down как только поднимается OSPF и снова в up как только OSPF падает.<br> https://opennet.ru/openforum/vsluhforumID1/97073.html#5 Fri, 15 Dec 2017 04:39:25 GMT &gt;[оверквотинг удален]<br>&gt; строится туннель, <br>&gt; Т.е. туннель "заворачивается сам в себя" т.к. DST туннеля становится доступен через <br>&gt; туннель же...<br>&gt; Короче, выбросить из ОСПФ-а "внешние" сети/адреса <br>&gt; em0 1.1.1.2/24 <br>&gt; и <br>&gt; em0 2.2.2.2/24 <br>&gt; И вся ваша "магия" закончится :) <br>&gt; Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ" <br>&gt; И циска в лог даже специально фразу по этому поводу пишет...<br><br>Огромное спасибо! Пока всё работает идеально, пинги ходят, а также hello здорового человека. Очень жаль, что не копнул сам и не догадался.<br> https://opennet.ru/openforum/vsluhforumID1/97073.html#4 Fri, 15 Dec 2017 04:11:03 GMT &gt;[оверквотинг удален]<br>&gt; строится туннель, <br>&gt; Т.е. туннель "заворачивается сам в себя" т.к. DST туннеля становится доступен через <br>&gt; туннель же...<br>&gt; Короче, выбросить из ОСПФ-а "внешние" сети/адреса <br>&gt; em0 1.1.1.2/24 <br>&gt; и <br>&gt; em0 2.2.2.2/24 <br>&gt; И вся ваша "магия" закончится :) <br>&gt; Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ" <br>&gt; И циска в лог даже специально фразу по этому поводу пишет...<br><br>Тааак... Спасибо за совет, попробую и отпишусь.<br> https://opennet.ru/openforum/vsluhforumID1/97073.html#3 Thu, 14 Dec 2017 21:18:08 GMT &gt;&gt; давно делал подобное но с openvpn, проблем не было <br>&gt;&gt; http://sys-adm.org.ua/net/quagga-ospf <br>&gt; Вариант с OpenVPN я пробовал и он вроде работал, но не подошёл <br>&gt; идеологически (клиент-сервер) + маршрут до сети за клиентом приходится писать руками <br>&gt; через опцию iroute, иначе он не маршрутизирует несмотря на OSPF-связность. Мне <br>&gt; же нужна полная автоматика в плане машрутов.<br>&gt; Схема вроде простая, но я не понимаю, в чём дело. Возможно, надо <br>&gt; поднять эту схему на реальном железе.<br><br>Классическая ошибка состоит в анонсе по ОСПФ маршрутов к сетям, на которые строится туннель,<br>Т.е. туннель "заворачивается сам в себя" т.к. DST туннеля становится доступен через туннель же...<br>Короче, выбросить из ОСПФ-а "внешние" сети/адреса <br>em0 1.1.1.2/24<br>и<br>em0 2.2.2.2/24 <br>И вся ваша "магия" закончится :)<br>Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ" <br>И циска в лог даже специально фразу по этому поводу пишет...<br> https://opennet.ru/openforum/vsluhforumID1/97073.html#2 Thu, 14 Dec 2017 13:00:47 GMT &gt; давно делал подобное но с openvpn, проблем не было <br>&gt; http://sys-adm.org.ua/net/quagga-ospf <br><br>Вариант с OpenVPN я пробовал и он вроде работал, но не подошёл идеологически (клиент-сервер) + маршрут до сети за клиентом приходится писать руками через опцию iroute, иначе он не маршрутизирует несмотря на OSPF-связность. Мне же нужна полная автоматика в плане машрутов.<br><br>Схема вроде простая, но я не понимаю, в чём дело. Возможно, надо поднять эту схему на реальном железе.<br> https://opennet.ru/openforum/vsluhforumID1/97073.html#1 Thu, 14 Dec 2017 11:55:08 GMT давно делал подобное но с openvpn, проблем не было<br><br>http://sys-adm.org.ua/net/quagga-ospf<br>