Пытаюсь поднять совершенно обыденную для меня связку, за исключением того, что с Eltex, в качестве одной из сторон, дело имею впервые
GRE over IPsec поднят, пинги и вообще трафик ходит в обе стороны. OSPF не поднимается.
Со стороны Mikrotik в neighbors ESR-10 отсутствует вообще, со стороны ESR-10 Mikrotik присутствует вот так.
Код: Выделить всё
show ip ospf neighbors
Router ID Pri State DTime Interface Router IP
--------- --- ----- ----- ----------------- ---------
192.168.211.1 1 Init/PtP 00:34 gre 1 172.17.2.5
На стороне ESR-10 в monitor gre 1 protocol ospf вижу, что ospf hello пакеты есть в обе стороны, как со стороны Mirotik, так и со стороны ESR-10
Код: Выделить всё
12:15:58.443556 Out ethertype IPv4 (0x0800), length 84: (tos 0xc0, ttl 1, id 1957, offset 0, flags [none], proto OSPF (89), length 68)
172.17.2.6 > 224.0.0.5: OSPFv2, Hello, length 48
Router-ID 192.168.48.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.252, Priority 1
Neighbor List:
192.168.211.1
12:16:03.422191 In ethertype IPv4 (0x0800), length 80: (tos 0xc0, ttl 1, id 65484, offset 0, flags [none], proto OSPF (89), length 64)
172.17.2.5 > 224.0.0.5: OSPFv2, Hello, length 44
Router-ID 192.168.211.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.252, Priority 1
А вот на Mikrotik на gre интерфейсе вижу только пакеты от Mikrotik к ESR-10 и не вижу пакетов от ESR-10. Т.е. они до него почему-то не доходят. Вариант с фаерволом на стороне Mikrotik исключен, так как там множество аналогичных туннелей с оборудованием других вендоров тоже работают с ospf. Все туннели находятся в идентичных условиях. Все работают, а вот с Eltex что-то не так.
Я так понимаю, что хотя я и вижу в monitor gre 1 protocol ospf hello пакеты от esr, по факту они с устройства не уходят. Подскажите пожалуйста, что я делаю не так?
Конфиг ESR-10 почти полностью, подтер секцию username и часть деанонящих данных
Код: Выделить всё
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 3232
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
boot host auto-config
no spanning-tree
security zone trusted
exit
security zone untrusted
exit
router ospf 1
router-id 192.168.48.1
area 0.0.0.0
network 172.17.2.4/30
network 192.168.48.0/24
enable
exit
enable
exit
bridge 1
description "LAN"
vlan 1
security-zone trusted
ip address 192.168.48.1/24
ip ospf instance 1
ip ospf
enable
exit
interface gigabitethernet 1/0/1
security-zone untrusted
ip address 1.1.1.1/30
exit
interface gigabitethernet 1/0/2
mode switchport
security-zone trusted
exit
interface gigabitethernet 1/0/3
mode switchport
security-zone trusted
exit
interface gigabitethernet 1/0/4
mode switchport
security-zone trusted
exit
interface gigabitethernet 1/0/5
mode switchport
security-zone trusted
exit
interface gigabitethernet 1/0/6
mode switchport
security-zone trusted
exit
tunnel gre 1
mtu 1426
security-zone trusted
local address 1.1.1.1
remote address 2.2.2.2
ip address 172.17.2.6/30
ip ospf instance 1
ip ospf priority 1
ip ospf network point-to-point
ip ospf
enable
exit
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match protocol tcp
match destination-port telnet
enable
exit
rule 10
action permit
match protocol tcp
match destination-port ssh
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 40
action permit
match protocol udp
match destination-port ntp
enable
exit
rule 50
action permit
match protocol ospf
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol udp
match source-port dhcp_server
match destination-port dhcp_client
enable
exit
rule 2
action permit
match protocol icmp
enable
exit
rule 3
action permit
match protocol tcp
match destination-port ssh
enable
exit
rule 4
action permit
match protocol gre
enable
exit
rule 5
action permit
match protocol esp
enable
exit
rule 6
action permit
match protocol ah
enable
exit
exit
security ike proposal ikeprop1
encryption algorithm aes128
dh-group 2
exit
security ike policy ike_peer
lifetime seconds 86400
pre-shared-key ascii-text encrypted key
proposal ikeprop1
exit
security ike gateway ikegw_peer
ike-policy ike_peer
local address 1.1.1.1
local network 1.1.1.1/32 protocol gre
remote address 2.2.2.2
remote network 2.2.2.2/32 protocol gre
mode policy-based
exit
security ipsec proposal ipsecprop1
encryption algorithm aes128
exit
security ipsec policy ipsecpol1
proposal ipsecprop1
exit
security ipsec vpn vpn_Bonch
mode ike
type transport
ike establish-tunnel by-request
ike gateway ikegw_peer
ike ipsec-policy ipsecpol1
enable
exit
security passwords history 0
nat source
ruleset factory
to zone untrusted
rule 10
description "replace 'source ip' by outgoing interface ip address"
action source-nat interface
enable
exit
exit
exit
ip dhcp-server
ip dhcp-server pool lan-pool
network 192.168.48.0/24
domain-name
address-range 192.168.48.11-192.168.48.200
default-router 192.168.48.1
dns-server 77.88.8.8,77.88.8.1
exit
ip route 0.0.0.0/0 1.1.1.2
ip ssh server
ip ssh port 3232
ntp enable
ntp server 85.21.78.91
prefer
minpoll 4
exit
zabbix-agent
exit