О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

ESR10 <> Mikrotik OSPF через GRE over IPSEC

MES, ESR
reunion89
Сообщения: 2
Зарегистрирован: 14 фев 2023 19:05
Reputation: 0

ESR10 <> Mikrotik OSPF через GRE over IPSEC

Сообщение reunion89 » 14 фев 2023 19:29

Здравствуйте.
Пытаюсь поднять совершенно обыденную для меня связку, за исключением того, что с Eltex, в качестве одной из сторон, дело имею впервые

GRE over IPsec поднят, пинги и вообще трафик ходит в обе стороны. OSPF не поднимается.
Со стороны Mikrotik в neighbors ESR-10 отсутствует вообще, со стороны ESR-10 Mikrotik присутствует вот так.

Код: Выделить всё

show ip ospf neighbors
Router ID        Pri  State          DTime  Interface          Router IP
---------        ---  -----          -----  -----------------  ---------
192.168.211.1    1    Init/PtP       00:34  gre 1              172.17.2.5


На стороне ESR-10 в monitor gre 1 protocol ospf вижу, что ospf hello пакеты есть в обе стороны, как со стороны Mirotik, так и со стороны ESR-10

Код: Выделить всё

12:15:58.443556 Out ethertype IPv4 (0x0800), length 84: (tos 0xc0, ttl 1, id 1957, offset 0, flags [none], proto OSPF (89), length 68)
    172.17.2.6 > 224.0.0.5: OSPFv2, Hello, length 48
        Router-ID 192.168.48.1, Backbone Area, Authentication Type: none (0)
        Options [External]
          Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.252, Priority 1
          Neighbor List:
            192.168.211.1
12:16:03.422191  In ethertype IPv4 (0x0800), length 80: (tos 0xc0, ttl 1, id 65484, offset 0, flags [none], proto OSPF (89), length 64)
    172.17.2.5 > 224.0.0.5: OSPFv2, Hello, length 44
        Router-ID 192.168.211.1, Backbone Area, Authentication Type: none (0)
        Options [External]
          Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.252, Priority 1

А вот на Mikrotik на gre интерфейсе вижу только пакеты от Mikrotik к ESR-10 и не вижу пакетов от ESR-10. Т.е. они до него почему-то не доходят. Вариант с фаерволом на стороне Mikrotik исключен, так как там множество аналогичных туннелей с оборудованием других вендоров тоже работают с ospf. Все туннели находятся в идентичных условиях. Все работают, а вот с Eltex что-то не так.

Я так понимаю, что хотя я и вижу в monitor gre 1 protocol ospf hello пакеты от esr, по факту они с устройства не уходят. Подскажите пожалуйста, что я делаю не так?

Конфиг ESR-10 почти полностью, подтер секцию username и часть деанонящих данных

Код: Выделить всё

object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 3232
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
  severity info
exit

boot host auto-config
no spanning-tree

security zone trusted
exit
security zone untrusted
exit

router ospf 1
  router-id 192.168.48.1
  area 0.0.0.0
    network 172.17.2.4/30
    network 192.168.48.0/24
    enable
  exit
  enable
exit

bridge 1
  description "LAN"
  vlan 1
  security-zone trusted
  ip address 192.168.48.1/24
  ip ospf instance 1
  ip ospf
  enable
exit

interface gigabitethernet 1/0/1
  security-zone untrusted
  ip address 1.1.1.1/30
exit
interface gigabitethernet 1/0/2
  mode switchport
  security-zone trusted
exit
interface gigabitethernet 1/0/3
  mode switchport
  security-zone trusted
exit
interface gigabitethernet 1/0/4
  mode switchport
  security-zone trusted
exit
interface gigabitethernet 1/0/5
  mode switchport
  security-zone trusted
exit
interface gigabitethernet 1/0/6
  mode switchport
  security-zone trusted
exit
tunnel gre 1
  mtu 1426
  security-zone trusted
  local address 1.1.1.1
  remote address 2.2.2.2
  ip address 172.17.2.6/30
  ip ospf instance 1
  ip ospf priority 1
  ip ospf network point-to-point
  ip ospf
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol tcp
    match destination-port telnet
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port ntp
    enable
  exit
  rule 50
    action permit
    match protocol ospf
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 4
    action permit
    match protocol gre
    enable
  exit
  rule 5
    action permit
    match protocol esp
    enable
  exit
  rule 6
    action permit
    match protocol ah
    enable
  exit
exit

security ike proposal ikeprop1
  encryption algorithm aes128
  dh-group 2
exit

security ike policy ike_peer
  lifetime seconds 86400
  pre-shared-key ascii-text encrypted key
  proposal ikeprop1
exit

security ike gateway ikegw_peer
  ike-policy ike_peer
  local address 1.1.1.1
  local network 1.1.1.1/32 protocol gre
  remote address 2.2.2.2
  remote network 2.2.2.2/32 protocol gre
  mode policy-based
exit

security ipsec proposal ipsecprop1
  encryption algorithm aes128
exit

security ipsec policy ipsecpol1
  proposal ipsecprop1
exit

security ipsec vpn vpn_Bonch
  mode ike
  type transport
  ike establish-tunnel by-request
  ike gateway ikegw_peer
  ike ipsec-policy ipsecpol1
  enable
exit

security passwords history 0
nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool lan-pool
  network 192.168.48.0/24
  domain-name
  address-range 192.168.48.11-192.168.48.200
  default-router 192.168.48.1
  dns-server 77.88.8.8,77.88.8.1
exit

ip route 0.0.0.0/0 1.1.1.2

ip ssh server
ip ssh port 3232

ntp enable
ntp server 85.21.78.91
  prefer
  minpoll 4
exit

zabbix-agent
exit

reunion89
Сообщения: 2
Зарегистрирован: 14 фев 2023 19:05
Reputation: 0

Re: ESR10 <> Mikrotik OSPF через GRE over IPSEC

Сообщение reunion89 » 14 фев 2023 21:41

Отвечаю сам себе для потомков.

Решилось добавлением "ttl 255" в конфиг gre туннеля


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей