Mikrotik. Как заставить трафик ходить по маршрутам, создаваемым OSPF в VPN-туннелях?

Question

[SterhXXX]

Добрый день.
На центральном Mikrotik-e имеется 3 входящих канала Интернет. На входе они маркируются Mangle-ом: I1, I2, I3.
Соединения из LAN маркируются L1, L2, L3 - для балансировки по соединениям.
Подняты 3 gre-тунеля до филиала. По тунелю на канал интернета.
Для соединения локальных сетей вводится OSPF.
Проблема в том, что из-за маркировки, трафик в локальную сеть филиала пытается идти через интернет. Главенство именованных маршрутов над неименованными, из-за которых трафик для движения использует маршруты с маркировкой.

Что надо сделать чтобы:
Или OSPF создавал именованные маршруты;
Или трафик из локалки в локалку ходил через gre-туннели.

Задача решена методом Mangle, но это требует вмешательства админа на каждом маршрутизаторе при появлении новой сети, а хотелось бы автоматической настройки именно средствами OSPF. Возможно стоит разбить на зоны, на разные экземпляры OSPF (пробовали - не заработало)?

Зы: gre-туннели рабочие. С маршрутизатора на маршрутизатор трафик ходит как задумано - по маршрутам OSPF. Проблема именно с трафиком из локалки в локалку.
Заведомо известно, что есть способ. Просто никто не хочет поделиться знанием. ТП сказала, что в их мануалах это есть (послала на..., короче)

Для визуального понимания прилепил картинку.


Это перефразированный и уточненный вопрос: https://qna.habr.com/q/1054024

Comments

[Valentin Barbolin]

Может стоит изменить правило маркировки, указать что бы пакеты которые пойдут в VPN не маркировались?

[Drno]

я соглашусь. при использовании OSPF ненадо маркировать трафф, который должен идти в VPN, микротик сам решит куда его отправить
ну и конечно микротики заранее должны знать про новые сети, они должны быть указаны в OSPF, иначе откуда микрики узнают про появление новой сети то...

[SterhXXX]

по правилам маршрутизации приоритет имеют те маршруты, в которых есть маркировка. Соответственно трафик пойдет по ним, а не по маршрутам, созданным процессами OSPF.
Микротики НЕ должны знать заранее про новые сети. Просто добавляешь эту сеть на ОДНОМ маршрутизаторе в OSPF и он автоматически рассылает маршруты до нее другим маршрутизатором с запущенными процессами OSPF.

Answer 1

[SterhXXX]

Я все выяснил: решить эту задачу исключительно средствами OSPF на оборудовании Mikrotik нельзя. Данная задача решается либо через Mangle (в моем случае Я трафик заворачиваю до маркировки), либо через IP -> Routes, а точнее, через политики (PBR). В итоге и там, и там требуется ручками админа донастраивать.(((
Очень жаль!

Answer 2

[Александр Карабанов]

routing-table (name of routing table;)	- the routing table this OSPF instance operates on

routing-table - это свойство OSPF инстанса.
Mikrotik OSPF
OSPF Case Studies and Solutions

Предыдущий вопрос звучал странно. Этот чуть получше.
Ни разу не встречал термина именованный маршрут, а вот пользовательская таблица маршрутизации да. Наверно никто из прочитавших твой вопрос не понял о чём речь. Я случайно догадался.

routing-mark которые ты в Mangle настраиваешь - это имена таблиц маршрутизации.

Твоя цель сделать так, чтобы в созданную тобой таблицу маршрутизации добавлял маршруты процесс OSPF. Судя по всему тебе придётся сделать несколько инстансов OSPF.

Есть ещё VRF возможно с ним можно что-то придумать...

UPD
Думаю достаточно запустить ещё один инстанс OSPF который будет заниматься маршрутами для VPN. VRF тут не нужен...

Comments

[SterhXXX]

проблема в том, что по правилам маршрутизации трафик первым делом идет по пользовательской таблице маршрутизации (я привык к термину "именованный маршрут"). Он приоритетнее даже явных маршрутов /24. Поэтому и не использует маршруты OSPF.
Я тоже думал, что ключик в инстансес, в создании разных экземпляров OSPF. Но не прокатило. Пробовал тупиковые зоны делать. Но трафик тупо не доходит до маршрута OSPF, т.к. он никак не захватывает маркировку.

[Александр Карабанов]

Что-то не так с маркировкой значит.

[Валентин]

Я всегда думал, что routing-mark это просто отметка для каких-нибудь пакетов для последующей маршрутизации, а никак не именованная таблица маршрутизации. Аналог таблицы mangle на шаге PREROUTING с действием MARK в iptables.

[Александр Карабанов]

Да это создаёт некоторую путаницу, но в терминологии микротика это так.

Answer 3

[nApoBo3]

Делайте балансировку средствами OSPF.

Зы: gre-туннели рабочие. С маршрутизатора на маршрутизатор трафик ходит как задумано - по маршрутам OSPF. Проблема именно с трафиком из локалки в локалку.

Если у вас через один маршрутизатор до одной конечной точки трафик идет двумя разными маршрутами, значит у вас учитываться другие факторы при маршрутизации, судя по всему в данном конкретном случае это маркировка.

Заведомо известно, что есть способ. Просто никто не хочет поделиться знанием. ТП сказала, что в их мануалах это есть (послала на..., короче)

Это не ресурс для поплакать, никто не должен с вами ничем делить, по mikrotik есть большой объем документации и курсы.