Как настроить MikroTik в одну подсеть на нескольких подразделениях?

Question

[Aptwel]

Имеется Proxmox кластер из трёх нод, который пока-что находится физически в одной подсети. Сейчас сеть работает через Wireguard тоннели с OSPF маршрутизацией.

Что бы развести ноды в разные места, мне необходимо настроить сеть в новых местах так, что бы
1) Ноды могли видеть друг друга по всё тем же самым ip (192.168.88.101; 192.168.88.102; 192.168.88.103)
2) Офис и производство могло попадать на VM которые имеют локальные ip типа 192.168.88.35 (статика через динамику DHCP) не зависимо на какой из нод прямо сейчас работает та или иная VM
Планируется между маршрутизаторами нод поднять EoIP тоннели, но тоннели к офису и производству оставить через wireguard/ospf и должно иметь следующий вид

Сейчас в качестве теста работы по wireguard/ospf между офисом и новым местом на стороне поднят микрот со следующими настройками

настройки

# 2024-11-11 09:19:49 by RouterOS 7.12.1
# software id = DGHY-UT5J
#
# model = RB951G-2HnD
# serial number = 642E07A520B6
/interface bridge
add admin-mac=64:D1:54:17:E8:5A auto-mac=no comment=defconf name=bridgeLocal
add arp=disabled name=lo
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] name=ether1-geteway
/interface l2tp-client
/interface eoip
add !keepalive mac-address=02:B5:40:78:96:72 mtu=1410 name=\
EoIP_Mother_to_Viva remote-address=10.100.100.88 tunnel-id=188
add disabled=yes !keepalive local-address=98.168.8.2 mac-address=\
02:B5:40:78:96:72 mtu=1410 name=Viva_EoIP_L2TP remote-address=98.168.8.1 \
tunnel-id=153
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
add listen-port=13232 mtu=1420 name=wireguard2
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay interface=bridgeLocal \
lease-time=1w10m name=server1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing id
add disabled=no id=10.10.10.89 name=lo select-dynamic-id=only-loopback
/routing ospf instance
add disabled=no in-filter-chain=ospf-in name=ospf-instance-1 \
out-filter-chain=ospf-out redistribute=connected router-id=lo
/routing ospf area
add disabled=no instance=ospf-instance-1 name=ospf-area-v2
/interface bridge filter
add action=drop chain=forward disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=EoIP_Mother_to_Viva
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=ether1-geteway list=WAN
add interface=*9 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address="10.100.100.0/24,192.168.0.0/24,192.168.2.0/24,192.168.3.0\
/24,192.168.4.0/24,192.168.5.0/24,192.168.87.0/24,224.0.0.0/4" comment=\
WG_to_Office endpoint-address=85.*******.64 endpoint-port=13231 interface=\
wireguard1 persistent-keepalive=10s public-key=\
"J*************************************g="
add allowed-address="10.200.200.0/24,192.168.0.0/24,192.168.2.0/24,192.168.3.0\
/24,192.168.4.0/24,192.168.5.0/24,192.168.87.0/24,224.0.0.0/4" comment=\
WG_to_Promka endpoint-address=85.********.240 endpoint-port=13232 \
interface=wireguard2 persistent-keepalive=10s public-key=\
"U************************************s="
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
interfaces=wlan1
/ip address
add address=192.168.88.2/24 interface=bridgeLocal network=192.168.88.0
add address=10.100.100.89/24 interface=wireguard1 network=10.100.100.0
add address=10.10.10.89 interface=lo network=10.10.10.89
add address=10.200.200.89/24 interface=wireguard2 network=10.200.200.0
/ip dhcp-client
add interface=ether1-geteway
/ip dhcp-server lease
ff:4d:8:12:64:0:1:0:1:2e:3b:5e:7e:22:32:4d:8:12:64 comment=PVE1 \
mac-address=22:32:4D:08:12:64 server=server1
add address=192.168.88.102 client-id=\
ff:4d:7:3e:88:0:1:0:1:2e:3b:8b:85:22:2:4d:7:3e:88 comment=PVE2 \
mac-address=22:02:4D:07:3E:88 server=server1
add address=192.168.88.103 client-id=\
ff:4d:4:1f:c9:0:1:0:1:2e:3b:ae:2f:22:11:4d:4:1f:c9 comment=PVE3 \
mac-address=22:11:4D:04:1F:C9 server=server1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8,192.168.88.2 gateway=\
192.168.88.2
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=80,1723,8291,34567 protocol=tcp
add action=accept chain=input protocol=ospf
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=input port=500,1701,4500 protocol=udp
add action=drop chain=forward src-address=192.168.88.91
add action=accept chain=input protocol=ipsec-esp
/ip firewall mangle
add action=clear-df chain=prerouting passthrough=no tcp-flags=""
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-geteway
add action=masquerade chain=srcnat dst-address=192.168.88.254
add action=masquerade chain=srcnat src-address=192.168.88.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address-list="" dst-port=443 \
protocol=tcp to-addresses=192.168.88.220 to-ports=443
add action=dst-nat chain=dstnat dst-port=18000-19000 protocol=udp \
to-addresses=192.168.88.254 to-ports=18000-19000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set h323 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=remote
/routing bfd configuration
add addresses="" disabled=yes interfaces=all min-rx=200ms min-tx=200ms \
multiplier=5
/routing filter rule
add chain=ospf-in disabled=no rule=\
"if (dst in 192.168.0.0/16 && dst-len in 16-32) {accept;}"
add chain=ospf-in disabled=yes rule=\
"if (dst in 10.100.100.0/24 && dst-len in 24-32) {accept;}"
add chain=ospf-out disabled=no rule=\
"if (dst in 192.168.0.0/16 && dst-len in 16-32) {accept;}"
add chain=ospf-out disabled=yes rule=\
"if (dst in 10.100.100.0/24 && dst-len in 24-32) {accept;}"
/routing ospf interface-template
add area=ospf-area-v2 cost=10 disabled=no interfaces=wireguard1 networks=\
10.100.100.0/24 priority=1 type=ptmp
add area=ospf-area-v2 cost=20 disabled=no interfaces=wireguard2 networks=\
10.200.200.0/24 priority=1 type=ptmp
/routing ospf static-neighbor
add address=10.200.200.2%wireguard2 area=ospf-area-v2 disabled=no \
poll-interval=5s
add address=10.100.100.1%wireguard1 area=ospf-area-v2 disabled=no \
poll-interval=5s

но при запуске wireguard интерфейсов - кладётся основная действующая сеть между офисом и 192.168.88.0/24
Прошу помочь знающих разобраться в чем может быть проблема, либо предложить альтернативу. Спасибо

Comments

[Drno]

разные подсети должны быть.. lan.. везде

[Aptwel]

Drno, Proxmox обязывает ноды в кластере быть в одной подсети и это легко делается благодаря EoIP, но проблема в последующей маршрутизации по ospf, в этом и прошу помочь разобраться

[Keffer]

Aptwel, Выделяйте вилан для этого дела отдельный, убирайте оспф (он не нужен вам в этой задаче) и вперед.

[Valentin Barbolin]

Нельза использовать по два IP адреса на каждой ноде или два сетевых интерфейса? Один для кластера, второй менеджмента.

[Valentin Barbolin]

Valentin Barbolin,

Proxmox обязывает ноды в кластере быть в одной подсети

где ты такое требование нашел?

[Aptwel]

Keffer, Схема обрезана, по мимо того что есть на схеме, есть ещё 4 подразделения в разных городах и всё это маршрутизируется по ospf - в этом плане всё идеально. Но все эти подразделения в конечном итоге выходят на 192.168.88.0/24 так как на proxmox крутятся 1с, Битрикс, Asterisk. От ospf нет желания избавляться

[Aptwel]

Valentin Barbolin, С proxmox в целом не принципиально, но! для чего вообще вся эта история началась. Вот есть у меня виртуалка с 1с которая имеет ip адрес 192.168.88.35 и крутится на PVE1 и вот вырубают свет в этом здании и происходит миграция на PVE2 которая будет иметь другую подсеть, и виртуалка какой ip должна получить если у меня 100+ сотрудников жестко прописаны на 192.168.88.35 работать в 1с ?

[Артем Кайбагоров]

Aptwel, для решения этой задачи используйте dns и балансировщик

[Aptwel]

Артем Кайбагоров, можно пожалуйста более подробно с практическими советами

[Valentin Barbolin]

Артем Кайбагоров,

для решения этой задачи используйте dns и балансировщик

На самом деле тут есть проблемка, такие сервисы как 1с не любят смену IP, особенно если база sql.
Тут надо подумать как построить l2 сеть между нодами поверх l3. Возможно стоит посмотреть в сторону zerotier, netbird.

[Aptwel]

Valentin Barbolin, да, база на PostgreSQL крутится на соседней виртуалке

[Valentin Barbolin]

Aptwel, У тебя сложная конфигурация на выходе получается, как тебе такой вариант.

Арендовать VPS, объединить три ноды и VPS в одно сеть через ZeroTier надо донимать прямо на ноде и включать режим бриджа. Офисы будут строить VPN на VPS ( не важно какой VPN) это будет точка входа для клиентского трафика. Что бы zerotier между нодами не слал трафик через свои сервера ноды должны видеть друг друга через l3.

[Valentin Barbolin]

Aptwel, Если мы говорим про eoip, то можно попробовать так

Выделить отдельный vlan во всех офисах, связать его через eoip межу всеми офисами, на офисах прописать маршрут в vlan. Ноды соответственно поместить в vlan. То есть трафик клиента прямо в его офисе будет попадать в сеть нод и уже по eoip идти на активную ноду.

[Aptwel]

Valentin Barbolin, пока что в теории этот вариант больше всего нравится

[Дмитрий]

Тут нужно учитывать, что если кластер Proxmox - это действительно кластер, а не три одиночных сервера, то у него есть достаточно строгие требования к задержкам и потерям пакетов на кластерной сети. Очень может быть, что на туннелях через публичные сети кластер начнет постоянно разваливаться. И это не теоретическая проблема, мне потребовалось устанавливать на пяти серверах моего кластера отдельные сетевухи под кластерную сеть, несмотря на то, что между серверами изначально была сеть 10 Гбит/с. Но во время ночных бэкапов сервера периодически уходили в ребут, а после выделения отдельного сегмента под кластер все стабилизировалось.
https://pve.proxmox.com/wiki/Cluster_Manager#_clus...

[Aptwel]

Дмитрий, у меня на каждой ноде мать изначально с двумя сетевыми интерфейсами, так и планирую двумя кольцами разводить в сеть. Если честно не понимаю как можно уложиться в 10мс в масштабе одного города, что бы не "сыпался" кластер, но будем решать проблемы по мере их поступления. Сейчас задача развести кластер

[Дмитрий]

Ну считайте, что я вас предупредил. Территориально распределенный кластер я бы стал строить только при наличии "тёмного волокна" или VPN с гарантированными характеристиками между локациями, иначе стопроцентно возникнут проблемы со стабильностью. Лучше было бы разместить кластер в одном месте, а скажем Proxmox Backup Server - в другом.
Кстати у вас есть общее хранилище SAN/NAS, которое используют серверы, или какая-то заменяющая его технология, например CEPH? Как виртуалка с упавшего сервера сможет запуститься на соседнем сервере, если её виртуальные диски будут на нем недоступны?

[Valentin Barbolin]

Aptwel, https://pve.proxmox.com/pve-docs/chapter-pvesdn.html
VxVlan или eVPN

[Aptwel]

Дмитрий,

Как виртуалка с упавшего сервера сможет запуститься на соседнем сервере, если её виртуальные диски будут на нем недоступны?

ZFS, репликация, high availability

Answer 1

[Юрий MikroTik]

Растягивание L2 это не правильное планирование всего что можно.

Но если очень хочется:
Меняем /24 на /22
Тем самым каждая локация становится со своей /24, но /22 домене
Блокируем DHCP между сетями

EoIP подымаем между Lo интерфейсами OSPF и бриджуем в сеть.

По такой схеме EoIP работает поверх wireguard +маршрутизация Lo интерфейсов отрабатывает как нужно.