хитрый роутинг?

Anton Gorlov написал(а) к All в Jan 15 02:02:36 по местному времени:

Привет All!


Есть некая циска с адресом 10.22.2.193/32 на лупбэке,есть на циске 2 интерфейса с адресами
10.22.2.68/26
10.22.2.130/26

через которые этот лупбэк (10.22.2.193) доступен.

Вланы приземляются на линуксом сервере (пока что так.).
Со стороны этого сервера на вланах висят соответсвенно
10.22.2.67/26
10.22.2.129/26


и на сервере соответсвенно прописан роут до 10.22.2.193 через оба доступных линка

ip route show
default via 192.168.24.33 dev ens5 10.22.2.64/26 dev vlan10 proto kernel scope link src 10.22.2.67 10.22.2.128/26 dev vlan11 proto kernel scope link src 10.22.2.129 192.168.24.0/24 dev eth1 proto kernel scope link src 192.168.24.82


ip route show table vl10 10.22.2.193 via 10.22.2.68 dev vlan10
ip route show table vl11 10.22.2.193 via 10.22.2.130 dev vlan11

C циски сервер доступен через оба линка. Всё Ок.
С Сервера циска так же доступна через оба линка. Всё Ок.


А вот всё что за сервером - пакеты приходят скажем через vlan10, уходят во вне как и положено черех eth1 (там nat, но не суть важно). А Вот ответы циске с внешних хостов с этого сервера уходят не черех тот интерфейс с которого пришли -а через тот, кто 1 поднялся или чере тот у кого метрика ниже.

То есть скажем отправляю с циски пакет в сторону 8.8.8.8

Приходит пакет на vlan10 10.22.2.193->8.8.8.8
Далее на eth1 вижу исх пакеты на 8.8.8.8,Как и положено а вот ответы от
8.8.8.8 ->10.22.2.193 вижу на vlan11

То есть проблема исключительно с путём по которому возвращаюся транзитные пакеты.

Как бы добиться что бы ответные пакеты в данном случае уходили с того же интерфейса, с которого изначально пришёл запрос?

С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20111201

Valentin Davydov написал(а) к Anton Gorlov в Jan 15 19:11:31 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Anton Gorlov <Anton.Gorlov@f37.n5059.z2.fidonet.org>
> Date: Wed, 21 Jan 2015 02:02:36 +0300
>
>Есть некая циска с адресом 10.22.2.193/32 на лупбэке,есть на циске 2
>интерфейса с адресами
>10.22.2.68/26
>10.22.2.130/26
>
>и на сервере соответсвенно прописан роут до 10.22.2.193 через оба доступных
>линка
>
>C циски сервер доступен через оба линка. Всё Ок.
>С Сервера циска так же доступна через оба линка. Всё Ок.
>
>А вот всё что за сервером - пакеты приходят скажем через vlan10, уходят во
>вне как и положено черех eth1 (там nat, но не суть важно). А Вот ответы циске с
>внешних хостов с этого сервера уходят не черех тот интерфейс с которого пришли
>-а через тот, кто 1 поднялся или чере тот у кого метрика ниже.

Всё правильно, так и должно быть. Стандартный роутинг обращает винимание
только на адрес получателя, а он у тебя не содержит информации о том, через
какой линк прошёл запрос.

>То есть скажем отправляю с циски пакет в сторону 8.8.8.8
>
>Приходит пакет на vlan10 10.22.2.193->8.8.8.8
>Далее на eth1 вижу исх пакеты на 8.8.8.8,Как и положено а вот ответы от
>8.8.8.8 ->10.22.2.193 вижу на vlan11
>
>То есть проблема исключительно с путём по которому возвращаюся транзитные
>пакеты.
>
>Как бы добиться что бы ответные пакеты в данном случае уходили с того же
>интерфейса, с которого изначально пришёл запрос?

Запоминать эту информацию где-нибудь. Например, если ты укажешь циске
отправлять запрсы не с адреса 10.22.2.193, а с 10.22.2.68 или с 10.22.2.130,
то информация запомнится в NATе и ответные пакеты направятся по соответсвуюшему
адресу (в соответствующий интерфейс). Либо, если не хочется трогать циску,
можно NATить пакеты, приходящие через разные интерфейсы, в разные внешние
адреса, тогда эта информация будет непосредственно в пакетах гулять
до 8.8.8.8 и обратно.

Вал. Дав.

--- ifmail v.2.15dev5.4

Anton Gorlov написал(а) к Valentin Davydov в Jan 15 22:11:24 по местному времени:

Привет Valentin!

21 янв 15 года (а было тогда 19:11)
Valentin Davydov в своем письме к Anton Gorlov писал:


>> То есть скажем отправляю с циски пакет в сторону 8.8.8.8
>>
>> Приходит пакет на vlan10 10.22.2.193->8.8.8.8
>> Далее на eth1 вижу исх пакеты на 8.8.8.8,Как и положено а вот ответы
>> от 8.8.8.8 ->10.22.2.193 вижу на vlan11
>>
>> То есть проблема исключительно с путём по которому возвращаюся
>> транзитные пакеты.
>>
>> Как бы добиться что бы ответные пакеты в данном случае уходили с
>> того же интерфейса, с которого изначально пришёл запрос?
VD> Запоминать эту информацию где-нибудь. Например, если ты укажешь циске
VD> отправлять запрсы не с адреса 10.22.2.193, а с 10.22.2.68 или с
VD> 10.22.2.130, то информация запомнится в NATе и ответные пакеты
VD> направятся по соответсвуюшему адресу (в соответствующий интерфейс).
VD> Либо, если не хочется трогать циску, можно NATить пакеты, приходящие
VD> через разные интерфейсы, в разные внешние адреса, тогда эта информация
VD> будет непосредственно в пакетах гулять до 8.8.8.8 и обратно.


Так в том тои фишка что надо что бы src был 1 и тот же и пакеты можно было куда-то дальше роутера кидать...




С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20111201

Valentin Davydov написал(а) к Anton Gorlov в Jan 15 12:31:09 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Anton Gorlov <Anton.Gorlov@f37.n5059.z2.fidonet.org>
> Date: Wed, 21 Jan 2015 22:11:24 +0300
>
>>> То есть скажем отправляю с циски пакет в сторону 8.8.8.8
>>>
>>> Приходит пакет на vlan10 10.22.2.193->8.8.8.8
>>> Далее на eth1 вижу исх пакеты на 8.8.8.8,Как и положено а вот ответы
>>> от 8.8.8.8 ->10.22.2.193 вижу на vlan11
>>>
>>> То есть проблема исключительно с путём по которому возвращаюся
>>> транзитные пакеты.
>>>
>>> Как бы добиться что бы ответные пакеты в данном случае уходили с
>>> того же интерфейса, с которого изначально пришёл запрос?
>VD> Запоминать эту информацию где-нибудь. Например, если ты укажешь циске
>VD> отправлять запрсы не с адреса 10.22.2.193, а с 10.22.2.68 или с
>VD> 10.22.2.130, то информация запомнится в NATе и ответные пакеты
>VD> направятся по соответсвуюшему адресу (в соответствующий интерфейс).
>VD> Либо, если не хочется трогать циску, можно NATить пакеты, приходящие
>VD> через разные интерфейсы, в разные внешние адреса, тогда эта информация
>VD> будет непосредственно в пакетах гулять до 8.8.8.8 и обратно.
>
>
>Так в том тои фишка что надо что бы src был 1 и тот же и пакеты можно было
>куда-то дальше роутера кидать...

Во внутренней сети тоже обязан ходить толькр один src address?

Вал. Дав.
--- ifmail v.2.15dev5.4

Anton Gorlov написал(а) к Valentin Davydov в Jan 15 12:55:46 по местному времени:

Привет Valentin!

22 янв 15 года (а было тогда 12:31)
Valentin Davydov в своем письме к Anton Gorlov писал:

>> Так в том тои фишка что надо что бы src был 1 и тот же и пакеты можно
>> было куда-то дальше роутера кидать...
VD> Во внутренней сети тоже обязан ходить толькр один src address?



Да. В общем нарисовалось 2 других варианта - ospf или сделаю из 2 линков аггрегацию. То есть во 2 случае резервирование по L2.

quagga/ospf тоже понарвилось, но не нашёл в документации как в сторону некоторых интерфейсов не анонсить некоторые подсети. Что несколько печально..

С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20111201

Andrey Ostanovsky написал(а) к Anton Gorlov в Jan 15 11:29:22 по местному времени:

Нello Anton!

22 Jan 15 12:55, you wrote to Valentin Davydov:

AG> quagga/ospf тоже понарвилось, но не нашёл в документации как в сторону
AG> некоторых интерфейсов не анонсить некоторые подсети. Что несколько
AG> печально..

Как анонсить - понятно:

!
ip prefix-list Local_Network seq 4 permit 192.168.54.0/24
!
route-map Local_Network permit 4
match ip address prefix-list Local_Network
!

Наверное можно извернуться и с тем, чтобы не на все интерфейсы это правило работало, но я с синтаксисом route-map так плотно не разбирался, а цисками, слава Богу, давно не занимаюсь.

Andrey

--- GoldED+/BSD 1.1.5-b20070503