https://www.opennet.ru/openforum/vsluhforumID6/1666.html Добрый день друзья. Решил попробовать соорудить сарай с динамической маршрутизацией, но сарай не стоится. Суть такая:<br>три хоста 1) Mikrotik CCR 2) Mikrotik RB 3) Centos (quagga)<br>Между всеми прокинут IPSEC в транспортном режиме. Внутри IPSEC поднят GRE. Хосты друг друга видят пингуют SSH работает. Делая на статических роутах - пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и тут прилип.<br><br>Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились. А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello до него доходят. И он отвечает, о чем свидетельствует дамп. А вот из туннеля на RB и CCR ни чего не выходит, о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения дропа трафика. Не помогло. Куда еще рыть - не понятно.<br>Подсобите кто чем сможет.<br> https://www.opennet.ru/openforum/vsluhforumID6/1666.html#6 Wed, 25 Mar 2015 06:54:17 GMT &gt; Благодарю за хороший ответ. Проверю. Отпишусь <br><br>Проверил. Отписываюсь. <br>После замены MTU на интерфейчас GRE на 1400 изначально результата не было. Нарвался на еще одну статью к которой было сказано что если TTL на концах разное ни чего арбайтен не будет. Забубенил равное 64 со всех сторон. Изменение MSS ни как на работу не влиял - посему я плюнул на него. И ко всему прочему в QUAGGA в настройках интерфейсов добил параметр ip ospf mtu-ignor. После чего начало шуршать и в итоге заработало.<br> https://www.opennet.ru/openforum/vsluhforumID6/1666.html#5 Tue, 24 Mar 2015 18:59:43 GMT Благодарю за хороший ответ. Проверю. Отпишусь <br> https://www.opennet.ru/openforum/vsluhforumID6/1666.html#4 Tue, 24 Mar 2015 18:16:54 GMT &gt;&gt;&gt; Смотри в сторону MTU/MSS...<br>&gt; Еще предложения будут? У туннеля MTU 1476 с двух сторон. В одну <br>&gt; сторону идут в другую нет.<br>&gt; Сея концепция больше эксперементальная нежели для продакшена. Но сам факт интересен.<br><br>Рекомендации построения туннельных интерфейсов<br>Исходя из того, что наиболее "тяжелый" вариант - это одновременное использование GRE и IPsec, рекомендации будут следующие:<br>- PMTUD позволяет установить на GRE интерфейсе оптимальное значение MTU и включается на туннельном интерфейсе командой tunnel path-mtu-discovery<br>- Обеспечьте нормальную работу PMTUD, при этом на обоих целевых хостах должна успешно выполняться mturoute.exe<br>- Также рекомендуется одновременно использовать и команду ip mtu 1400. В этом случае ip mtu будет обеспечивать пространство для GRE + IPSec, в случае же более низких значениях MTU по пути, IP MTU бует подкорректировано динамически. Значение 1400 рекомендовано, т.к. оно покрывает большинство возможных комбинаций GRE + IPSec.<br>- Следует использовать ip tcp adjust-mss 1360 https://www.opennet.ru/openforum/vsluhforumID6/1666.html#3 Tue, 24 Mar 2015 17:07:01 GMT <br>&gt;&gt; Смотри в сторону MTU/MSS...<br><br>Еще предложения будут? У туннеля MTU 1476 с двух сторон. В одну сторону идут в другую нет. <br>Сея концепция больше эксперементальная нежели для продакшена. Но сам факт интересен.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1666.html#2 Tue, 24 Mar 2015 12:43:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt; пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и <br>&gt;&gt; тут прилип.<br>&gt;&gt; Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились.<br>&gt;&gt; А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello <br>&gt;&gt; до него доходят. И он отвечает, о чем свидетельствует дамп. А <br>&gt;&gt; вот из туннеля на RB и CCR ни чего не выходит, <br>&gt;&gt; о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения <br>&gt;&gt; дропа трафика. Не помогло. Куда еще рыть - не понятно.<br>&gt;&gt; Подсобите кто чем сможет.<br>&gt; Смотри в сторону MTU/MSS...<br><br>Смотрю. Сейчас буду пробовать до подле рассчитать какое оно должно быть.<br> https://www.opennet.ru/openforum/vsluhforumID6/1666.html#1 Tue, 24 Mar 2015 12:01:18 GMT &gt;[оверквотинг удален]<br>&gt; друг друга видят пингуют SSH работает. Делая на статических роутах - <br>&gt; пакеты идут туда и обратно. Пытаюсь теперь забубенить по ospf и <br>&gt; тут прилип.<br>&gt; Между Латвийцами (Mikrotik) все поднялось на ура. Соседей увидели, поздоровались, подружились. <br>&gt; А вот с quagga проблемы. Сам quagga соседей латвийцев видит. Hello <br>&gt; до него доходят. И он отвечает, о чем свидетельствует дамп. А <br>&gt; вот из туннеля на RB и CCR ни чего не выходит, <br>&gt; о чем опять же таки свидетельтвуем дамп. пробовал глушить фаерволы исключения <br>&gt; дропа трафика. Не помогло. Куда еще рыть - не понятно.<br>&gt; Подсобите кто чем сможет.<br><br>Смотри в сторону MTU/MSS...<br>