Имеется Proxmox кластер из трёх нод, который
пока-что находится физически в одной подсети. Сейчас сеть работает через Wireguard тоннели с OSPF маршрутизацией.
Что бы развести ноды в разные места, мне необходимо настроить сеть в новых местах так, что бы
1) Ноды могли видеть друг друга по всё тем же самым ip (192.168.88.101; 192.168.88.102; 192.168.88.103)
2) Офис и производство могло попадать на VM которые имеют локальные ip типа 192.168.88.35 (статика через динамику DHCP) не зависимо на какой из нод прямо сейчас работает та или иная VM
Планируется между маршрутизаторами нод поднять EoIP тоннели, но тоннели к офису и производству оставить через wireguard/ospf и должно иметь следующий вид
Сейчас в качестве теста работы по wireguard/ospf между
офисом и
новым местом на стороне поднят микрот со следующими настройками
настройки# 2024-11-11 09:19:49 by RouterOS 7.12.1
# software id = DGHY-UT5J
#
# model = RB951G-2HnD
# serial number = 642E07A520B6
/interface bridge
add admin-mac=64:D1:54:17:E8:5A auto-mac=no comment=defconf name=bridgeLocal
add arp=disabled name=lo
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] name=ether1-geteway
/interface l2tp-client
/interface eoip
add !keepalive mac-address=02:B5:40:78:96:72 mtu=1410 name=\
EoIP_Mother_to_Viva remote-address=10.100.100.88 tunnel-id=188
add disabled=yes !keepalive local-address=98.168.8.2 mac-address=\
02:B5:40:78:96:72 mtu=1410 name=Viva_EoIP_L2TP remote-address=98.168.8.1 \
tunnel-id=153
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
add listen-port=13232 mtu=1420 name=wireguard2
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay interface=bridgeLocal \
lease-time=1w10m name=server1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing id
add disabled=no id=10.10.10.89 name=lo select-dynamic-id=only-loopback
/routing ospf instance
add disabled=no in-filter-chain=ospf-in name=ospf-instance-1 \
out-filter-chain=ospf-out redistribute=connected router-id=lo
/routing ospf area
add disabled=no instance=ospf-instance-1 name=ospf-area-v2
/interface bridge filter
add action=drop chain=forward disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=EoIP_Mother_to_Viva
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=ether1-geteway list=WAN
add interface=*9 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address="10.100.100.0/24,192.168.0.0/24,192.168.2.0/24,192.168.3.0\
/24,192.168.4.0/24,192.168.5.0/24,192.168.87.0/24,224.0.0.0/4" comment=\
WG_to_Office endpoint-address=85.*******.64 endpoint-port=13231 interface=\
wireguard1 persistent-keepalive=10s public-key=\
"J*************************************g="
add allowed-address="10.200.200.0/24,192.168.0.0/24,192.168.2.0/24,192.168.3.0\
/24,192.168.4.0/24,192.168.5.0/24,192.168.87.0/24,224.0.0.0/4" comment=\
WG_to_Promka endpoint-address=85.********.240 endpoint-port=13232 \
interface=wireguard2 persistent-keepalive=10s public-key=\
"U************************************s="
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
interfaces=wlan1
/ip address
add address=192.168.88.2/24 interface=bridgeLocal network=192.168.88.0
add address=10.100.100.89/24 interface=wireguard1 network=10.100.100.0
add address=10.10.10.89 interface=lo network=10.10.10.89
add address=10.200.200.89/24 interface=wireguard2 network=10.200.200.0
/ip dhcp-client
add interface=ether1-geteway
/ip dhcp-server lease
ff:4d:8:12:64:0:1:0:1:2e:3b:5e:7e:22:32:4d:8:12:64 comment=PVE1 \
mac-address=22:32:4D:08:12:64 server=server1
add address=192.168.88.102 client-id=\
ff:4d:7:3e:88:0:1:0:1:2e:3b:8b:85:22:2:4d:7:3e:88 comment=PVE2 \
mac-address=22:02:4D:07:3E:88 server=server1
add address=192.168.88.103 client-id=\
ff:4d:4:1f:c9:0:1:0:1:2e:3b:ae:2f:22:11:4d:4:1f:c9 comment=PVE3 \
mac-address=22:11:4D:04:1F:C9 server=server1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8,192.168.88.2 gateway=\
192.168.88.2
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=80,1723,8291,34567 protocol=tcp
add action=accept chain=input protocol=ospf
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=input port=500,1701,4500 protocol=udp
add action=drop chain=forward src-address=192.168.88.91
add action=accept chain=input protocol=ipsec-esp
/ip firewall mangle
add action=clear-df chain=prerouting passthrough=no tcp-flags=""
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-geteway
add action=masquerade chain=srcnat dst-address=192.168.88.254
add action=masquerade chain=srcnat src-address=192.168.88.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address-list="" dst-port=443 \
protocol=tcp to-addresses=192.168.88.220 to-ports=443
add action=dst-nat chain=dstnat dst-port=18000-19000 protocol=udp \
to-addresses=192.168.88.254 to-ports=18000-19000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set h323 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=remote
/routing bfd configuration
add addresses="" disabled=yes interfaces=all min-rx=200ms min-tx=200ms \
multiplier=5
/routing filter rule
add chain=ospf-in disabled=no rule=\
"if (dst in 192.168.0.0/16 && dst-len in 16-32) {accept;}"
add chain=ospf-in disabled=yes rule=\
"if (dst in 10.100.100.0/24 && dst-len in 24-32) {accept;}"
add chain=ospf-out disabled=no rule=\
"if (dst in 192.168.0.0/16 && dst-len in 16-32) {accept;}"
add chain=ospf-out disabled=yes rule=\
"if (dst in 10.100.100.0/24 && dst-len in 24-32) {accept;}"
/routing ospf interface-template
add area=ospf-area-v2 cost=10 disabled=no interfaces=wireguard1 networks=\
10.100.100.0/24 priority=1 type=ptmp
add area=ospf-area-v2 cost=20 disabled=no interfaces=wireguard2 networks=\
10.200.200.0/24 priority=1 type=ptmp
/routing ospf static-neighbor
add address=10.200.200.2%wireguard2 area=ospf-area-v2 disabled=no \
poll-interval=5s
add address=10.100.100.1%wireguard1 area=ospf-area-v2 disabled=no \
poll-interval=5s
но при запуске wireguard интерфейсов - кладётся основная
действующая сеть между офисом и 192.168.88.0/24
Прошу помочь знающих разобраться в чем может быть проблема, либо предложить альтернативу. Спасибо