Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте коллеги,
Понадобилось прицепить к существующей VPN сети, еще одну подсеть.
Ну, думаю, раз примеры есть, трудностей не будет.
Поднимаю IPSec - поднялся.
Настраиваю OSPF - новый микрот тупо не видит соседа(neighbors). Соот-о маршруты не поднимаются, nexthop не ставится.
Однако сам сосед(центральный роутер) его видит!
Захожу в IP - Neighbors - соседи видны.... Что не так с OSPF, не могу понять.
Уже поставил статические маршруты в роутинге(на обоих концах), нужные сети увиделись, но OSPF так и не заработал

Ниже конфиг микрота клиента:
model = RBD52G-5HacD2HnD
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp
set [ find default-name=ether1 ] name=wan1
/interface gre
add clamp-tcp-mss=no local-address=10.1.10.230 mtu=1416 name=DC remote-address=10.16.16.78
/interface list
add name=WAN
add name=LAN
/ip ipsec peer
add address=10.16.16.78/32 local-address=10.1.10.230 name=DC
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=PROPOSAL-IPSEC-MAIN pfs-group=none
/routing ospf area
set [ find default=yes ] disabled=yes
add area-id=172.18.0.0 default-cost=1 inject-summary-lsas=no name=PROD translator-role=translate-never type=nssa
/routing ospf instance
set [ find default=yes ] name=NEWMIKROTIK router-id=172.33.1.2
/ip address
add address=10.1.10.230/30 interface=wan1 network=10.1.10.228
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=172.33.1.2/30 interface=DC network=172.33.1.0
/ip ipsec identity
add peer=DC secret=XXXXXXX
/ip ipsec policy
add dst-address=10.16.16.78/32 peer=DC proposal=PROPOSAL-IPSEC-MAIN protocol=gre sa-dst-address=10.16.16.78 sa-src-address=10.1.10.230 src-address=10.1.10.230/32 tunnel=yes
/ip route
add distance=1 gateway=10.1.10.229
add distance=1 dst-address=192.168.1.0/24 gateway=DC
/routing ospf network
add area=PROD network=172.33.1.0/30
add area=PROD network=192.168.10.0/24

Я так понимаю, что на новый роутер не проходит Hello запрос от центрального.
Но как это исправить? Почти такой же конфиг, работает(причем давно) на соседнем маршрутизаторе

Ну а со второго тоже покажите кусок конфига, связанный с OSPF.

xvo писал(а): ↑23 ноя 2019, 02:38 Ну а со второго тоже покажите кусок конфига, связанный с OSPF.

Прошу прощения, вот конфиг центрального роутера:
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=PROPOSAL-IPSEC-MAIN pfs-group=none
/routing ospf area
set [ find default=yes ] disabled=yes
add area-id=172.18.0.0 default-cost=1 inject-summary-lsas=no name=PROD \
translator-role=translate-never type=nssa
/routing ospf instance
set [ find default=yes ] name=DC router-id=172.23.1.1
/routing ospf interface
add cost=1 interface=ether7 network-type=broadcast passive=yes
add cost=100 interface=2MIKROTIK network-type=point-to-point
add cost=100 interface=NEWMIKROTIK network-type=point-to-point
/routing ospf network
add area=PROD network=192.168.230.0/24
add area=PROD network=172.23.1.0/30
add area=PROD network=172.33.1.0/30

Причем роутер с адресом GRE интерфейса 172.23.1.1(2MIKROTIK) нормально работает, с практически таким же конфигом.
А NEWMIKROTIK - не хочет.

Ну в общем в том, что вы выложили, я не вижу причин, почему не должно работать.
Хотя и есть несколько замечаний именно по настройке OSPF:
1) Какой практический смысл использовать не backbone area, если она у вас одна?
2) В качестве Router ID надо использовать адрес назначенный на loopback интерфейс - а то у вас один из туннелей, адрес которого используется, упадет, адрес станет не доступным и OSPF развалится.

Возвращаясь к проблеме:
1) На головном у вас OSPF-интерфейсы статические, на не работающем - динамические и их в конфиге не видно. Я правильно понимаю, что интерфейс нормально добавляется, но neighbor на нем не виден?
2) В /ip firewall connections работающий OSPF линк - это пара соединений протокола 89(ospf) с обоими роутерами в качестве src-address и мультикастным адресом 224.0.0.5 в качестве dst-address. Вот и попытайтесь отловить на каком моменте пропадают OSPF-пакеты: то ли не улетают с головного, то ли не долетают до неработающего.

xvo писал(а): ↑23 ноя 2019, 11:47 Ну в общем в том, что вы выложили, я не вижу причин, почему не должно работать.
Хотя и есть несколько замечаний именно по настройке OSPF:
1) Какой практический смысл использовать не backbone area, если она у вас одна?
2) В качестве Router ID надо использовать адрес назначенный на loopback интерфейс - а то у вас один из туннелей, адрес которого используется, упадет, адрес станет не доступным и OSPF развалится.

Возвращаясь к проблеме:
1) На головном у вас OSPF-интерфейсы статические, на не работающем - динамические и их в конфиге не видно. Я правильно понимаю, что интерфейс нормально добавляется, но neighbor на нем не виден?
2) В /ip firewall connections работающий OSPF линк - это пара соединений протокола 89(ospf) с обоими роутерами в качестве src-address и мультикастным адресом 224.0.0.5 в качестве dst-address. Вот и попытайтесь отловить на каком моменте пропадают OSPF-пакеты: то ли не улетают с головного, то ли не долетают до неработающего.

По настройке OSPF, я не хотел менять то, что работает. А оно работает уже несколько лет.
Тем более что сам, не особо разбираюсь именно в его настройке..

А вот по проблеме:
1) Все правильно вы понимаете, на нерабочем динамические, я даже больше скажу, головной видит новичка в OSPF neighbor, а вот новичок - нет.
2) На новичке это выглядит вот так:
2 C ospf 172.33.1.2 224.0.0.5 9m52s 0bps 0bps 15 034 0 962 176 0
3 C ospf 192.168.10.1 224.0.0.5 9m52s 0bps 0bps 14 861 0 951 104 0

И я догадываюсь, что по логике вещей, с новичка на головной пакеты уходят, а наоборот - нет.
Но как эту проблему решить?
Может в фаерволе новичка проблема?:

/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=wan1 protocol=tcp
add action=accept chain=input dst-port=8291,80 in-interface=bridge1 protocol=tcp
add action=accept chain=input comment="VPN connect, IPsec" dst-port=500,4500 in-interface=wan1 protocol=udp
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.10.0/24
add chain=output connection-state=!invalid
add chain=forward connection-state=established,new in-interface=bridge1 out-interface=wan1 src-address=192.168.10.0/24
add chain=forward connection-state=established,related in-interface=wan1 out-interface=bridge1
add action=accept chain=input dst-port=1723 in-interface=wan1 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input in-interface=wan1 protocol=ipsec-esp
add action=accept chain=input comment="Permit established connections" connection-state=established
add action=accept chain=input comment="Permit related connections" connection-state=related
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Стучу головой по столу.
Чего я сразу не увидел?!
Как только добавил в фаере input ospf accept - сразу все заработало!
Уважаемые камрад xvo - прошу прощения за отнятое у Вас время.

1) Да, в firewall'е точно проблема - у вас там нигде нет разрешающего правила на то, что приходит внутри туннеля на сам роутер. Так что разрешите там либо OSPF, либо просто все из вашего интерфейса DC.

2) По поводу того, что не хотите ничего менять - ну area то ладно, пусть остается, если работает, но вот router-id перенесите на loopback-интерфейсы. Когда у вас был всего один туннель, в этом не было особого смысла - все равно, если тунель упал, то логично, что и ОSPF тоже. Сейчас же странно оставлять зависимость работы одного туннеля от работы другого.

P.s.: вот к этому правилу всегда лучше добавлять ipsec-policy=in,ipsec. Чтобы если вдруг где-то будет косяк с IPsec'ом туннель "самовольно" не построился без него.

sarge писал(а): ↑23 ноя 2019, 13:00 Стучу головой по столу.
Чего я сразу не увидел?!
Как только добавил в фаере input ospf accept - сразу все заработало!
Уважаемые камрад xvo - прошу прощения за отнятое у Вас время.

Ничего страшного, бывает