- IPSec + резервный канал., Zl0, 09:34 , 14-Июл-10 (1)
>Добрый день. >Возник такой вопрос. А можно ли сделать так что бы IPSec соединение >автоматически перебрасывалось на резервный канал при падении основного? >Имеются 2 офиса и у них по 2 канала, резервный и бэкапный >соответственно, соединяемся сейчас через IPSec. Вот и хотелось бы сделать, что >бы при падении одного из них, связь с фелилалом не прерывалась. > >Возможно ли такое сделать? и если да, то какими средствами? У меня сделано так, проложено несколько gre туннелей (это как бы провайдеры на серверах 1-1, 2-2, 1-2, 2-1), поверх ник ipsec, переключение производиться с помощью ospf.
- IPSec + резервный канал., Aidaho, 09:37 , 14-Июл-10 (2)
>[оверквотинг удален] >>Возник такой вопрос. А можно ли сделать так что бы IPSec соединение >>автоматически перебрасывалось на резервный канал при падении основного? >>Имеются 2 офиса и у них по 2 канала, резервный и бэкапный >>соответственно, соединяемся сейчас через IPSec. Вот и хотелось бы сделать, что >>бы при падении одного из них, связь с фелилалом не прерывалась. >> >>Возможно ли такое сделать? и если да, то какими средствами? > >У меня сделано так, проложен проложено несколько gre туннелей, поверх ник ipsec, >переключение производиться с помощью ospf. а можно подробней, как сделано через ospf? а то я динамической маршрутизации не бум-бум :( >У меня сделано так, проложен проложено несколько gre туннелей, это получается так же по несколько политик в ipsec.conf и несколько записей в racoon.conf ? И кстати, у нас 1 канал точка - точка (Е1), а второй (Резервный) интернетовский. Туннели подняты сейчас через gif интерфейсы.
- IPSec + резервный канал., Zl0, 11:28 , 14-Июл-10 (3)
>>[оверквотинг удален] >это получается так же по несколько политик в ipsec.conf и несколько записей >в racoon.conf ? Да именно так и получается. >И кстати, у нас 1 канал точка - точка (Е1), а второй >(Резервный) интернетовский. >Туннели подняты сейчас через gif интерфейсы. Есть статья, там только для linux, но для bsd я думаю все аналогично. http://my.opera.com/Zl0/blog/2010/05/06/ospf-gre-linux
- IPSec + резервный канал., Aidaho, 12:36 , 14-Июл-10 (4)
>[оверквотинг удален] >>в racoon.conf ? > >Да именно так и получается. >>И кстати, у нас 1 канал точка - точка (Е1), а второй >>(Резервный) интернетовский. >>Туннели подняты сейчас через gif интерфейсы. > >Есть статья, там только для linux, но для bsd я думаю все >аналогично. >http://my.opera.com/Zl0/blog/2010/05/06/ospf-gre-linux да ) гугл мне уже показал эту статью. Ну принцип в принципе понятен. Только вопрос возник, в статье описаны 2 туннеля с разными айпи. У меня получается ипы будут одинаковые на туннелях, только через разных провов ходить будут. Не может ли быть тут каких либо траблов?
- IPSec + резервный канал., Zl0, 12:47 , 14-Июл-10 (5)
>да ) гугл мне уже показал эту статью. Ну принцип в принципе >понятен. Только вопрос возник, в статье описаны 2 туннеля с разными >айпи. У меня получается ипы будут одинаковые на туннелях, только через >разных провов ходить будут. Не может ли быть тут каких либо >траблов? Адреса внутри туннелей должны быть разные иначе будут коллизии.
- IPSec + резервный канал., Aidaho, 13:24 , 14-Июл-10 (6)
>>да ) гугл мне уже показал эту статью. Ну принцип в принципе >>понятен. Только вопрос возник, в статье описаны 2 туннеля с разными >>айпи. У меня получается ипы будут одинаковые на туннелях, только через >>разных провов ходить будут. Не может ли быть тут каких либо >>траблов? > >Адреса внутри туннелей должны быть разные иначе будут коллизии. хм, а как тогда можно будет это реализовать? потому что мне надо прокидывать одну подсеть. повесить алиас на интерфейс? сейчас работает так: 192.168.0.1/24 -- 10.10.10.1 ------ 10.10.10.2 -- 192.168.1.1/24 и я хочу сделать резервный канал по типу: 192.168.0.1/24 -- ччч.ччч.ччч.ччч ------ ххх.ххх.ххх.ххх -- 192.168.1.1/24 второй работать будет через интернет.
- IPSec + резервный канал., Zl0, 13:34 , 14-Июл-10 (7)
>сейчас работает так: > >192.168.0.1/24 -- 10.10.10.1 ------ 10.10.10.2 -- 192.168.1.1/24 > >и я хочу сделать резервный канал по типу: >192.168.0.1/24 -- ччч.ччч.ччч.ччч ------ ххх.ххх.ххх.ххх -- 192.168.1.1/24 >второй работать будет через интернет. Где то вы запутались или не до конца все допоняли У вас должно получится допустим такая картина: 192.168.0.1/24 -- 10.10.10.1 ------ 10.10.10.2 -- 192.168.1.1/24 192.168.0.1/24 -- 10.10.20.1 ------ 10.10.20.2 -- 192.168.1.1/24 10-я сетка висит на gif0 и допустим gif1 gifconfig_gif[номер]="[realip.address.source.tunnel] [realip.address.destination.tunnel]" ifconfig_gif[номер]="inet [ip.address.source.tunnel] \ [ip.address.destination.tunnel] netmask 255.255.255.252" вы вешаете адреса из 10 сетки на ваши ip.address.source.unnel and destination tunnel address Что будет делать OSPF В зависимости от приоритета и доступности канала он будет менять таблицу маршрутизации на ваших граничный серверах допустим если в нормально то ip ro 192.168.37.1/24 via 10.10.10.2 dev gif0 а если нет ip ro 192.168.37.1/24 via 10.10.20.2 dev gif1 Ну и наоборот..
- IPSec + резервный канал., Aidaho, 13:43 , 14-Июл-10 (8)
>[оверквотинг удален] >Что будет делать OSPF > >В зависимости от приоритета и доступности канала он будет менять таблицу маршрутизации >на ваших граничный серверах > >допустим если в нормально то >ip ro 192.168.37.1/24 via 10.10.10.2 dev gif0 >а если нет >ip ro 192.168.37.1/24 via 10.10.20.2 dev gif1 >Ну и наоборот.. На пальцах на много понятней, спасибо большое за разъяснение ) получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? Ну и в IPSec-e дополнительные настройки...
- IPSec + резервный канал., Zl0, 13:48 , 14-Июл-10 (9)
>На пальцах на много понятней, спасибо большое за разъяснение ) >получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? >Ну и в IPSec-e дополнительные настройки... Именно
- IPSec + резервный канал., Aidaho, 08:57 , 16-Июл-10 (10)
>>На пальцах на много понятней, спасибо большое за разъяснение ) >>получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? >>Ну и в IPSec-e дополнительные настройки... > >Именно еще 1 вопрос возник по ходу настройки, дефаулт роут надо делать в системе или нет?
- IPSec + резервный канал., Zl0, 11:45 , 16-Июл-10 (11)
>>>На пальцах на много понятней, спасибо большое за разъяснение ) >>>получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? >>>Ну и в IPSec-e дополнительные настройки... >> >>Именно > >еще 1 вопрос возник по ходу настройки, дефаулт роут надо делать в >системе или нет? Я не помню как bsd но в linux нужно сделать через iproute2 чтобы пакеты пришедшие на интерфейс уходили через этот же интерфейс в интернет, а не через default route, он вам нужен чтобы все остальное гонять.
- IPSec + резервный канал., Aidaho, 15:54 , 16-Июл-10 (12)
>[оверквотинг удален] >>> >>>Именно >> >>еще 1 вопрос возник по ходу настройки, дефаулт роут надо делать в >>системе или нет? > >Я не помню как bsd но в linux нужно сделать через iproute2 >чтобы пакеты пришедшие на интерфейс уходили через этот же интерфейс в >интернет, а не через default route, он вам нужен чтобы все >остальное гонять. кстати, это мне придется все остальные соединения тоже что ли переводить на оспф? у меня там еще штук 10 соединений весят...
- IPSec + резервный канал., Zl0, 16:53 , 16-Июл-10 (13)
>кстати, это мне придется все остальные соединения тоже что ли переводить на >оспф? у меня там еще штук 10 соединений весят... ospf рулит только туннелями.
- IPSec + резервный канал., Aidaho, 07:21 , 27-Июл-10 (14)
>>кстати, это мне придется все остальные соединения тоже что ли переводить на >>оспф? у меня там еще штук 10 соединений весят... > >ospf рулит только туннелями. блин, что то не могу завести :( вот что пишет оспф по поводу соседей: > sh ip ospf ne Neighbor ID Pri State Dead Time Address Interface RXmtL RqstL DBsmL 192.168.72.1 1 ExStart/DROther 35.893s 192.168.73.1 gif10:192.168.101.1 0 0 0 192.168.72.1 1 ExStart/DROther 35.893s 192.168.72.1 gif11:192.168.100.1 0 0 0 почему не может завязаться полностью? как я понял проблема в ipsec-e, но куда именно копать? вот настройки интерфейсов гиф: gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1376 tunnel inet 192.168.100.1 --> ччч.ччч.ччч.ччч inet6 fe80::211:d8ff:fea2:6d9b%gif10 prefixlen 64 scopeid 0x10 inet 192.168.101.1 --> 192.168.73.1 netmask 0xffffffff gif11: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet 10.10.10.6 --> 10.10.10.15 inet6 fe80::211:d8ff:fea2:6d9b%gif11 prefixlen 64 scopeid 0x11 inet 192.168.100.1 --> 192.168.72.1 netmask 0xffffffff это с одной стороны, со второй тоже самое.... вот, что в логе еще пишет? 2010/07/27 09:23:25 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. 2010/07/27 09:23:29 OSPF: Packet from [192.168.72.1] received on wrong link fxp0 Хотя интерфейса fxp0 в настройках ни где нет. такая же строчка есть и на другой стороне 2010/07/27 09:24:00 OSPF: Packet from [192.168.100.1] received on wrong link ste1
- IPSec + резервный канал., Zl0, 16:23 , 27-Июл-10 (15)
Вообще больше похоже что пиры не могут договорится о маршрутах, покажите лучше zebra & ospf конфиги.и rc.conf ту часть про туннели.
- IPSec + резервный канал., Aidaho, 16:27 , 27-Июл-10 (16)
>Вообще больше похоже что пиры не могут договорится о маршрутах, покажите лучше >zebra & ospf конфиги. > >и rc.conf ту часть про туннели. ок, вот конфиг зебры первого сревака: interface lo description loop interface gif11 description ISP1 interface gif10 description ISP2 ! log file /var/log/quagga/zebra.log оспф его же interface gif11 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif10 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.100.1 redistribute connected redistribute static neighbor 192.168.72.1 neighbor 192.168.73.1 network 192.168.72.0/24 area 0.0.0.0 network 192.168.73.0/24 area 0.0.0.0 area 0.0.0.0 range 192.168.72.0/24 cost 10 area 0.0.0.0 rc.conf: gifconfig_gif10="192.168.100.1 xxx.xxx.xxx.xxx" ifconfig_gif10="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.252 mtu 1376" route_vpn8=" -net 192.168.73 192.168.73.1" gifconfig_gif11="10.10.10.6 10.10.10.15" ifconfig_gif11="inet 192.168.100.1 192.168.72.1 netmask 255.255.255.252 mtu 1376" route_vpn9=" -net 192.168.72 192.168.72.1" теперь второй сервак зебра: interface lo description loop interface gif0 description ISP1 interface gif1 description ISP2 ! log file /var/log/quagga/zebra.log оспф: interface lo ! interface gif0 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif1 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.72.1 redistribute connected redistribute static neighbor 192.168.100.1 neighbor 192.168.101.1 network 192.168.100.0/24 area 0.0.0.0 network 192.168.101.0/24 area 0.0.0.0 area 0.0.0.0 range 192.168.100.0/24 cost 10 area 0.0.0.0 range 192.168.101.0/24 cost 20 ну и рц конф: gifconfig_gif0="10.10.10.15 10.10.10.6" ifconfig_gif0="inet 192.168.72.1 192.168.100.1 netmask 255.255.255.255 mtu 1376" route_vpn1=" -net 192.168.100 192.168.100.1" gifconfig_gif1="212.154.141.35 212.154.141.34" ifconfig_gif1="inet 192.168.73.1 192.168.101.1 netmask 255.255.255.255 mtu 1376" route_vpn2=" -net 192.168.101 192.168.101.1"
- IPSec + резервный канал., Zl0, 17:04 , 27-Июл-10 (17)
>gifconfig_gif10="192.168.100.1 xxx.xxx.xxx.xxx" >ifconfig_gif10="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.252 mtu 1376" >route_vpn8=" -net 192.168.73 192.168.73.1" > >gifconfig_gif11="10.10.10.6 10.10.10.15" >ifconfig_gif11="inet 192.168.100.1 192.168.72.1 netmask 255.255.255.252 mtu 1376" >route_vpn9=" -net 192.168.72 192.168.72.1" У вас маски разные >gifconfig_gif0="10.10.10.15 10.10.10.6" >ifconfig_gif0="inet 192.168.72.1 192.168.100.1 netmask 255.255.255.255 mtu 1376" >route_vpn1=" -net 192.168.100 192.168.100.1" > >gifconfig_gif1="212.154.141.35 212.154.141.34" >ifconfig_gif1="inet 192.168.73.1 192.168.101.1 netmask 255.255.255.255 mtu 1376" >route_vpn2=" -net 192.168.101 192.168.101.1" - IPSec + резервный канал., Aidaho, 17:05 , 27-Июл-10 (18)
>>gifconfig_gif10="192.168.100.1 xxx.xxx.xxx.xxx" >>ifconfig_gif10="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.252 mtu 1376" >>route_vpn8=" -net 192.168.73 192.168.73.1" >> >>gifconfig_gif11="10.10.10.6 10.10.10.15" >>ifconfig_gif11="inet 192.168.100.1 192.168.72.1 netmask 255.255.255.252 mtu 1376" >>route_vpn9=" -net 192.168.72 192.168.72.1" > >У вас маски разные >это я в rc.conf забыл поправить, выглядит туннели так: gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1376 tunnel inet 192.168.100.1 --> ччч.ччч.ччч.ччч inet6 fe80::211:d8ff:fea2:6d9b%gif10 prefixlen 64 scopeid 0x10 inet 192.168.101.1 --> 192.168.73.1 netmask 0xffffffff gif11: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1376 tunnel inet 10.10.10.6 --> 10.10.10.15 inet6 fe80::211:d8ff:fea2:6d9b%gif11 prefixlen 64 scopeid 0x11 inet 192.168.100.1 --> 192.168.72.1 netmask 0xffffffff
- IPSec + резервный канал., Zl0, 17:32 , 27-Июл-10 (19)
Скажите у вас конец туннеля другой свой видит, пингуется? И еще я не могу понять какую сеть в пытаетесь анонсировать через ospf? Потому что в конфиге у вас те же сети что и на туннелях, а где третьи сети, не из этого диапазона, которые он мог бы сообщить своему соседу??
- IPSec + резервный канал., Aidaho, 18:10 , 27-Июл-10 (20)
>Скажите у вас конец туннеля другой свой видит, пингуется? >И еще я не могу понять какую сеть в пытаетесь анонсировать >через ospf? Потому что в конфиге у вас те же сети >что и на туннелях, а где третьи сети, не из этого >диапазона, которые он мог бы сообщить своему соседу?? да, 72-ю видит. Вообще мне надо что бы работала только 72-ая сеть ну и 100-ая соответственно, как я понял по статьям, что без второй подсети ни чего не получится, вот и добавил 73 и 101, по факту нужна только 2 (72 и 100). Да и машины всего 2, по одной на каждой стороне тунеля.
- IPSec + резервный канал., Aidaho, 07:59 , 04-Авг-10 (21)
>[оверквотинг удален] >>что и на туннелях, а где третьи сети, не из этого >>диапазона, которые он мог бы сообщить своему соседу?? > >да, 72-ю видит. >Вообще мне надо что бы работала только 72-ая сеть ну и 100-ая >соответственно, как я понял по статьям, что без второй подсети ни >чего не получится, вот и добавил 73 и 101, по факту >нужна только 2 (72 и 100). > >Да и машины всего 2, по одной на каждой стороне тунеля. ну что? есть какие-либо идеи товарищи гуру?
- IPSec + резервный канал., Zl0, 09:29 , 04-Авг-10 (22)
>ну что? есть какие-либо идеи товарищи гуру? А на чем остановились? Так не не поднялся ospf? - IPSec + резервный канал., Aidaho, 09:32 , 04-Авг-10 (23)
>>ну что? есть какие-либо идеи товарищи гуру? > >А на чем остановились? Так не не поднялся ospf? Ну как было так и осталось. ospf не поднялся.
- IPSec + резервный канал., Zl0, 14:41 , 04-Авг-10 (24)
Смотрю я на ваши конфиги и чего то не понимаю, если делать правильно, то у вас должно получится следующееGre Сетки 192.168.73.0/24 и 192.168.101.0/24 - транзитные, используются только внутри туннелей.Статические роуты добавлять не нужно. gifconfig_gif0="10.10.10.15 10.10.10.6" ifconfig_gif0="inet 192.168.73.1 192.168.73.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif0="10.10.10.6 10.10.10.15" ifconfig_gif0="inet 192.168.73.2 192.168.73.1 netmask 255.255.255.0 mtu 1376" gifconfig_gif1="212.154.141.35 212.154.141.34" ifconfig_gif1="inet 192.168.101.1 192.168.101.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif1="212.154.141.34 212.154.141.35" ifconfig_gif1="inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376"
Используйте маски /24 , я помню у меня была как-то проблема с сетками /30 Zebra interface gif0 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif1 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.100.1 redistribute connected redistribute static network 192.168.100.0/24 area 0 network 192.168.73.0/24 area 0 network 192.168.101.0/24 area 0 ! log file /var/log/quagga/ospfd.log на соседе
interface gif0 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif1 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.72.1 redistribute connected redistribute static network 192.168.72.0/24 area 0 network 192.168.73.0/24 area 0 network 192.168.101.0/24 area 0 ! log file /var/log/quagga/ospfd.log Подключитесь с демону и посмотрите 1. Что на туннелях запустилась маршрутизация sh ip ospf interface 2. Что соседи нашлись sh ip ospf neighbor 3. Что все хорошо и маршруты получены sh ip ospf route
- IPSec + резервный канал., Aidaho, 16:02 , 04-Авг-10 (25)
>gifconfig_gif1="212.154.141.35 212.154.141.34" >ifconfig_gif1="inet 192.168.101.1 192.168.101.2 netmask 255.255.255.0 mtu 1376" >на соседе >gifconfig_gif1="212.154.141.34 212.154.141.35" >ifconfig_gif1="inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376" почему то на этой строчки: inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376 выкидывает кернел паник и уходит в ребут ) записал в rc.conf даже загружаться не захотела система... а 101 и 73 сеть нигде прописывать не надо?
- IPSec + резервный канал., Zl0, 17:14 , 04-Авг-10 (26)
>а 101 и 73 сеть нигде прописывать не надо? Что значит прописывать? Вы используете эти сети для адресации внутри туннеля, в rc.conf добавлять их нужно. - IPSec + резервный канал., Aidaho, 07:22 , 05-Авг-10 (27)
>>а 101 и 73 сеть нигде прописывать не надо? > >Что значит прописывать? >Вы используете эти сети для адресации внутри туннеля, в rc.conf добавлять их >нужно. я имел в виду только на gif интерфейсах? кстати, а если мне понадобиться добавить еще парочку таких же офисов, можно использовать эти же сети? например следующий айпи 101.3 и 73.3 ? кстати, а можно ли сделать так: gifconfig_gif0="10.10.10.15 10.10.10.6" ifconfig_gif0="inet 192.168.73.1 192.168.101.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif0="10.10.10.6 10.10.10.15" ifconfig_gif0="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.0 mtu 1376" gifconfig_gif1="212.154.141.35 212.154.141.34" ifconfig_gif1="inet 192.168.101.1 192.168.73.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif1="212.154.141.34 212.154.141.35" ifconfig_gif1="inet 192.168.73.2 192.168.101.1 netmask 255.255.255.0 mtu 1376"
при той настройки которую писали вы, у сервака кернал паник начинается...
- IPSec + резервный канал., Aidaho, 16:21 , 11-Авг-10 (28)
>[оверквотинг удален] >>gifconfig_gif1="212.154.141.34 212.154.141.35" >>ifconfig_gif1="inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376" > >почему то на этой строчки: >inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376 > >выкидывает кернел паник и уходит в ребут ) >записал в rc.conf даже загружаться не захотела система... > >а 101 и 73 сеть нигде прописывать не надо? в общем после перехода на более новое ядро паники удалось избежать. через 1 интерфейс завязалось, но через второй в логах такая вот байда: 2010/08/11 18:26:37 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 64, interface gif10, mtu 1500: Input/output error вот настройки самого интерфейса: gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 tunnel inet 192.168.100.10 --> 212.154.141.35 inet 192.168.101.2 --> 192.168.101.1 netmask 0xffffff00 может это из-за того, что с одной стороны туннеля внутренний адрес?
- IPSec + резервный канал., Zl0, 18:59 , 11-Авг-10 (29)
>gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 > tunnel inet 192.168.100.10 --> 212.154.141.35 > inet 192.168.101.2 --> 192.168.101.1 netmask 0xffffff00 > >может это из-за того, что с одной стороны туннеля внутренний адрес? Да в принципе какая разница какой там адрес висит, главное чтоб связь была между этими сетками. А связь то кстати есть по этому туннелю,все нормально ipsec работает?? tcpdumpом смотрели что внутри тоннеля бегает?? Что кстати sh ip ospf interface на этом интерфейсе показывает?? - IPSec + резервный канал., Aidaho, 11:45 , 12-Авг-10 (30)
>>gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 >> tunnel inet 192.168.100.10 --> 212.154.141.35 >> inet 192.168.101.2 --> 192.168.101.1 netmask 0xffffff00 >> >>может это из-за того, что с одной стороны туннеля внутренний адрес? > >Да в принципе какая разница какой там адрес висит, главное чтоб связь >была между этими сетками. А связь то кстати есть по этому >туннелю,все нормально ipsec работает?? tcpdumpом смотрели что внутри тоннеля бегает?? Что >кстати sh ip ospf interface на этом интерфейсе показывает?? как-то не правильно работает ospf, потому что если я прописываю 1 роут в ручную и вырубаю quagga, то все работает прекрасно. Включаю видно обоих соседов и пингуется, но после того, как они обменяются маршрутами, пинги с 1 туннеля пропадает и дохнет второй сосед.
- IPSec + резервный канал., Zl0, 15:54 , 12-Авг-10 (31)
>[оверквотинг удален] >> >>Да в принципе какая разница какой там адрес висит, главное чтоб связь >>была между этими сетками. А связь то кстати есть по этому >>туннелю,все нормально ipsec работает?? tcpdumpом смотрели что внутри тоннеля бегает?? Что >>кстати sh ip ospf interface на этом интерфейсе показывает?? > >как-то не правильно работает ospf, потому что если я прописываю 1 роут >в ручную и вырубаю quagga, то все работает прекрасно. Включаю видно >обоих соседов и пингуется, но после того, как они обменяются маршрутами, >пинги с 1 туннеля пропадает и дохнет второй сосед. Ну вы хоть бы логи выложили и показали что там внутри демона происходит на интерфейсах и что он получает от соседей. - IPSec + резервный канал., Aidaho, 15:58 , 12-Авг-10 (32)
> >Ну вы хоть бы логи выложили и показали что там внутри демона >происходит на интерфейсах и что он получает от соседей. вот что в логах творится при старте 2010/08/12 18:08:49 OSPF: interface 192.168.100.10 [1] join AllSPFRouters Multicast group. 2010/08/12 18:08:49 OSPF: ospfTrapIfStateChange trap sent: 192.168.73.2 now Point-To-Point 2010/08/12 18:08:49 OSPF: interface 192.168.73.2 [6] join AllSPFRouters Multicast group. 2010/08/12 18:08:49 OSPF: ospfTrapIfStateChange trap sent: 192.168.101.2 now Point-To-Point 2010/08/12 18:08:49 OSPF: interface 192.168.101.2 [5] join AllSPFRouters Multicast group. 2010/08/12 18:08:49 OSPF: LSA[Type5:0.0.0.0]: Not originate AS-exntenal-LSA for default 2010/08/12 18:08:49 OSPF: Link State Update: Unknown Neighbor 192.168.72.1 on int: gif12:192.168.101.2 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). 2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Loading -> Full): scheduling new router-LSA origination 2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Exchange -> Full): scheduling new router-LSA origination 2010/08/12 18:08:59 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 68, interface gif12, mtu 1376: Input/output error 2010/08/12 18:09:09 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 68, interface gif12, mtu 1376: Input/output error
- IPSec + резервный канал., Aidaho, 10:01 , 18-Авг-10 (33)
>[оверквотинг удален] >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). >2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Loading -> Full): scheduling new router-LSA origination >2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Exchange -> Full): scheduling new router-LSA origination >2010/08/12 18:08:59 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, >off 0, len 68, interface gif12, mtu 1376: Input/output error >2010/08/12 18:09:09 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, >off 0, len 68, interface gif12, mtu 1376: Input/output error продолжаю биться головой об стену (((
- IPSec + резервный канал., Aidaho, 12:28 , 24-Авг-10 (34)
все, разобрался. Дело оказалось в 1 не правильном маршруте.
|