https://www.opennet.dev/openforum/vsluhforumID6/21504.html Здравствуйте уважаемые коллеги! <br>Столкнулся с &#8220;мистической&#8221; проблемой на своей железке. <br>Суть, если упростить, в следующем, есть туннельная циска 2821, к ней подходят 2 провайдера. Через этих провайдеров проложено 2 IPinIP туннеля к удаленной циске, за которой находится локалка 192.168.7.0/24. Поднят ospf, который нормально отрабатывает. <br>За 2821 стоит свитч, который так же по ospf &#8220;снюхан&#8221; с ней. На свитче в отдельном vlan&#8217;е висит подсеть 192.168.100.0/24 <br><br>Прикладываю конфиг (убрал все лишнее) <br>Код: <br><br>Current configuration : 36911 bytes <br>! <br>! Last configuration change at 12:54:09 PCTime Wed Aug 25 2010 by rroot <br>! <br>version 15.1 <br>service timestamps debug datetime msec <br>service timestamps log datetime msec <br>service password-encryption <br>! <br>hostname gw-tun <br>! <br>boot-start-marker <br>boot-end-marker <br>! <br>logging buffered 51200 warnings <br>! <br>aaa new-model <br>! <br>! <br>aaa authentication login default local <br>aaa authentication login sdm_vpn_xauth_ml_2 group radius <br>aa https://www.opennet.dev/openforum/vsluhforumID6/21504.html#8 Thu, 26 Aug 2010 05:27:51 GMT &gt;Прописать отдельныйе маршруты для тунелей? <br>&gt;ip route 86.102.77.212 255.255.255.255 95.154.106.2 <br>&gt;ip route 194.67.48.178 255.255.255.255 82.194.167.225 <br>&gt;<br>&gt;и исключить их редистрибуцию в OSPF (если не исключить - будут проблемы <br>&gt;:) ) <br><br>На "встречной" кошке - аналогично...<br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#7 Thu, 26 Aug 2010 05:27:14 GMT Прописать отдельныйе маршруты для тунелей?<br>ip route 86.102.77.212 255.255.255.255 95.154.106.2<br>ip route 194.67.48.178 255.255.255.255 82.194.167.225 <br><br>и исключить их редистрибуцию в OSPF (если не исключить - будут проблемы :) )<br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#6 Thu, 26 Aug 2010 01:18:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Но вот из сети &#8220;ЗА&#8221; 2821 пакеты не идут, хотя до нее <br>&gt;&gt;доходят <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;В общем мозг уже сломал окончательно, буду признателен за любую помощь! <br>&gt;<br>&gt;MTU? <br>&gt;IOS лучше из 12.4 ветки подобрать, 15 сыровата ещё. <br><br>В общем проблему я кажется определил. Повесил ассес листы на интерфейсы провайдеров где разрешил ходить через них только ip провайдеров. И выловил, что в случае падения первого линка, при отправке пакетов, резервный тунель пытается инициироваться через интерфейс первого прова:<br><br> list TT-Lock denied ipinip 82.194.167.230 -&gt; 194.67.48.178, 1 packet<br><br>Это и объясняет то, что пакеты от самой циски уходят нормально, ибо отрабатывает ip local policy route-map<br><br>Можно ли эти грабли как-нибудь победить? Или только ip sla на DG?<br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#5 Wed, 25 Aug 2010 23:40:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;В OUT-Filter ipinip разрешен. <br>&gt;&gt;По идее эти моменты влиять не должны. <br>&gt;&gt;<br>&gt;&gt;IOS менял, сейчас стоит (C2800NM-ADVIPSERVICESK9-M), Version 15.1(1)XB <br>&gt;&gt;<br>&gt;&gt;В общем мозг уже сломал окончательно, буду признателен за любую помощь! <br>&gt;<br>&gt;При отключенном основном линке <br>&gt;gw-tun#show ip ospf neighbor <br>&gt;что говорит? <br><br>gw-tun#show ip ospf neighbor<br><br>Neighbor ID Pri State Dead Time Address Interface<br>172.21.7.2 0 FULL/ - 00:00:32 172.21.7.6 Tunnel116<br>10.5.0.3 1 FULL/DR 00:00:35 10.5.3.2 GigabitEthernet0/0.223<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#4 Wed, 25 Aug 2010 06:28:49 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Основной провайдер маршрутизирует на меня подсеть через транзитные ip 172.19.15.8/30 <br>&gt;Для прокидывания выделенной подсети через транзитные Ip используется ip policy route-map TT-MA <br>&gt;<br>&gt;В OUT-Filter ipinip разрешен. <br>&gt;По идее эти моменты влиять не должны. <br>&gt;<br>&gt;IOS менял, сейчас стоит (C2800NM-ADVIPSERVICESK9-M), Version 15.1(1)XB <br>&gt;<br>&gt;В общем мозг уже сломал окончательно, буду признателен за любую помощь! <br><br>При отключенном основном линке <br>gw-tun#show ip ospf neighbor <br>что говорит?<br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#3 Wed, 25 Aug 2010 06:14:31 GMT Заметил еще странность. <br>Если в момент, когда основной канал лежит, на тунельной циске дефолт гетвей сменить на резервного провайдера, пакеты бегут, но в этом случае, при поднятии основного, перестает маршрутизироваться через него. <br>Значит явно проблема с дефолтовым маршрутом. Но почему тогда туннели как таковые работают? <br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#2 Wed, 25 Aug 2010 05:45:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Но вот из сети &#8220;ЗА&#8221; 2821 пакеты не идут, хотя до нее <br>&gt;&gt;доходят <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;В общем мозг уже сломал окончательно, буду признателен за любую помощь! <br>&gt;<br>&gt;MTU? <br>&gt;IOS лучше из 12.4 ветки подобрать, 15 сыровата ещё. <br><br>MTU на всех туннелях 1460<br>IOS раньше стоял 15.0M работал нормально.<br> https://www.opennet.dev/openforum/vsluhforumID6/21504.html#1 Wed, 25 Aug 2010 05:41:11 GMT &gt;[оверквотинг удален]<br>&gt;Но вот если &#8220;положить&#8221; основной тунель, тут-то и начинается чертовщина. <br>&gt;OSPF отрабатывает нормально, маршруты изменяются на резервные <br>&gt;<br>&gt;<br>&gt;Но вот из сети &#8220;ЗА&#8221; 2821 пакеты не идут, хотя до нее <br>&gt;доходят <br>&gt;<br>&gt;<br>&gt;<br>&gt;В общем мозг уже сломал окончательно, буду признателен за любую помощь! <br><br>MTU?<br>IOS лучше из 12.4 ветки подобрать, 15 сыровата ещё.<br>