Динамическая маршрутизация

[rustamxp]

Всем доброго утра!

Хотел бы получить совет уважаемого сообщества.



Имеется 2 ВПН маршрутизатора (FreeBSD 9.1-RELEASE-p9 OpenVPN 2.3.2 Quagga 0.99.22.3)
Все соединяются, маршрутами обмениваются, связаться друг с другом могут, но....

Для Service шлюзом является VPN1.

Путь пакетов от branch1 к Service:
192.168.200.0/24 - 192.168.100.0/24 - vlan2 - Service - vlan2 -192.168.100.0/24 - 192.168.200.0/24
А вот branch2 к Service идет по пути:
192.168.201.0/24 - 192.168.101.0/24 - vlan2 - Service - vlan2 - vlan1 - 192.168.101.0/24 - 192.168.201.0/24

у branch1 все работает идеально.
у branch2 пакеты уходят и возвращаются, но связь с сервисами на Service не устанавливается.

Если изменить шлюз для Service на VPN2, branch2 начинает идеально работать, а у branch1 появляются проблемы.

Подскажите, чем появление дополнительного узла в "ответном" трафике мешает установлению соединения?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

покажите таблицу маршрутизации сервера Service

[rustamxp]

схема значительно упрощена. Service - это десяток аппаратных серверов с FreeBSD, Windows, ESXi, на которых крутится куча разных сервисов, каждый из которых имеет свой vlan. у каждого в таблице маршрутизации указан только default gateway, который указывает на VPN1.

[vadim64]

тогда покажите таблицу маршрутизации VPN1
текущая конфигурация - не рабочая

[Sorryxs]

Скорей всего на VPN1 сети криво описаны.

[vadim64]

ну тогда не показывайте ничего

[rustamxp]

простите, что так долго не отвечал, работы куча навалилось.

итак, полная схема сети:



(на схеме показано, что у подразделений по 2 соединения с VPN1 и VPN2. на данный момент поднимается только 1 туннель.)

и таблицы маршрутизации на VPN1 и VPN2:

VPN1

Код: Выделить всё

default            0.0.0.254     UGS         0 163461259 vlan20
10.0.9.0/24        192.168.104.2      UG1         0        0   tun2
10.0.10.0/24       192.168.104.2      UG1         0 16949898   tun2
10.0.11.0/24       192.168.104.2      UG1         0  3320436   tun2
10.0.12.0/24       192.168.104.2      UG1         0    64626   tun2
10.0.13.0/24       192.168.104.2      UG1         0    86125   tun2
10.10.10.0/24      192.168.104.2      UG1         0  1882114   tun2
10.166.12.16/30    link#13            U           0        0 vlan20
10.166.12.17       link#13            UHS         0        0    lo0
10.168.97.0/24     192.168.104.2      UG1         0        0   tun2
10.168.99.28/30    192.168.104.2      UG1         0 20242192   tun2
10.168.99.64/30    192.168.104.2      UG1         0  4102109   tun2
10.168.201.0/25    192.168.105.201    UG1         0  2596634   tap0
10.168.201.128/25  192.168.105.201    UG1         0        0   tap0
10.168.202.0/24    192.168.105.202    UG1         0  1557419   tap0
10.168.203.0/25    192.168.105.203    UG1         0    63061   tap0
10.168.203.128/25  192.168.105.203    UG1         0      156   tap0
10.168.204.0/25    192.168.105.204    UG1         0     7812   tap0
10.168.204.128/25  192.168.105.204    UG1         0      114   tap0
10.168.205.0/25    192.168.105.205    UG1         0  1746067   tap0
10.168.205.128/25  192.168.105.205    UG1         0     1169   tap0
10.168.206.0/25    192.168.105.206    UG1         0  1665035   tap0
10.168.206.128/25  192.168.105.206    UG1         0     1755   tap0
10.168.209.0/24    192.168.105.209    UG1         0   155759   tap0
10.168.211.0/24    192.168.105.211    UG1         0    41899   tap0
10.168.212.0/24    192.168.105.212    UG1         0  1234514   tap0
10.168.213.0/24    192.168.98.2       UG1         0        0 vlan98
10.168.214.0/24    192.168.105.214    UG1         0   764766   tap0
10.168.215.0/24    192.168.105.215    UG1         0   422712   tap0
10.168.216.0/25    192.168.105.216    UG1         0  4630295   tap0
10.168.216.128/25  192.168.105.216    UG1         0     1758   tap0
10.168.218.0/25    192.168.105.218    UG1         0   317013   tap0
10.168.218.128/25  192.168.105.218    UG1         0        0   tap0
10.168.219.0/25    192.168.105.219    UG1         0    80712   tap0
10.168.219.128/25  192.168.105.219    UG1         0    12594   tap0
10.168.221.0/24    192.168.105.221    UG1         0    29492   tap0
10.168.222.0/25    192.168.105.222    UG1         0    58461   tap0
10.168.222.128/25  192.168.105.222    UG1         0        0   tap0
10.168.226.0/25    192.168.106.226    UG1         0   400901   tap1
10.168.226.128/25  192.168.106.226    UG1         0     2296   tap1
10.168.227.0/24    192.168.105.227    UG1         0     8923   tap0
10.168.228.0/24    192.168.105.228    UG1         0    18161   tap0
10.168.229.0/24    192.168.105.229    UG1         0      781   tap0
127.0.0.1          link#10            UH          0      168    lo0
192.168.80.0/24    192.168.104.2      UG1         0        0   tun2
192.168.97.0/24    link#15            U           0        6 vlan97
192.168.97.1       link#16            UH          0        0 carp97
192.168.97.21      link#15            UHS         0        0    lo0
192.168.98.0/24    link#17            U           0      795 vlan98
192.168.98.1       link#17            UHS         0        0    lo0
192.168.99.0/29    link#18            U           0  2525945  vlan1
192.168.99.1       link#19            UH          0        0  carp1
192.168.99.5       link#18            UHS         0        0    lo0
192.168.99.8/29    link#20            U           0    85488  vlan2
192.168.99.9       link#21            UH          0        0  carp2
192.168.99.13      link#20            UHS         0        0    lo0
192.168.99.16/28   link#22            U           0  6557076  vlan3
192.168.99.17      link#23            UH          0        0  carp3
192.168.99.29      link#22            UHS         0        0    lo0
192.168.99.32/28   link#26            U           0 43190238  vlan5
192.168.99.33      link#27            UH          0        0  carp5
192.168.99.45      link#26            UHS         0        0    lo0
192.168.99.48/29   link#28            U           0    30386  vlan6
192.168.99.49      link#29            UH          0        0  carp6
192.168.99.53      link#28            UHS         0        0    lo0
192.168.99.56/29   link#30            U           0   290093  vlan7
192.168.99.57      link#31            UH          0        0  carp7
192.168.99.61      link#30            UHS         0        0    lo0
192.168.99.64/29   link#32            U           0        0  vlan8
192.168.99.65      link#33            UH          0        0  carp8
192.168.99.69      link#32            UHS         0        0    lo0
192.168.99.72/29   link#24            U           0       92  vlan4
192.168.99.73      link#25            UH          0        0  carp4
192.168.99.77      link#24            UHS         0        0    lo0
192.168.99.80/28   link#34            U           0    30572  vlan9
192.168.99.81      link#35            UH          0        0  carp9
192.168.99.93      link#34            UHS         0        0    lo0
192.168.99.96/29   link#36            U           0 22522145 vlan10
192.168.99.97      link#37            UH          0        0 carp10
192.168.99.101     link#36            UHS         0        0    lo0
192.168.99.104/29  link#38            U           0  8584528 vlan11
192.168.99.105     link#39            UH          0        0 carp11
192.168.99.109     link#38            UHS         0        0    lo0
192.168.99.112/29  link#40            U           0   290992 vlan12
192.168.99.113     link#41            UH          0        0 carp12
192.168.99.117     link#40            UHS         0        0    lo0
192.168.99.120/29  link#42            U           0  1021675 vlan13
192.168.99.121     link#43            UH          0        0 carp13
192.168.99.125     link#42            UHS         0        0    lo0
192.168.99.128/29  link#44            U           0      682 vlan14
192.168.99.129     link#45            UH          0        0 carp14
192.168.99.133     link#44            UHS         0        0    lo0
192.168.99.136/29  link#46            U           0     3871 vlan15
192.168.99.137     link#47            UH          0        0 carp15
192.168.99.141     link#46            UHS         0        0    lo0
192.168.99.144/29  link#48            U           0      979 vlan16
192.168.99.145     link#49            UH          0        0 carp16
192.168.99.149     link#48            UHS         0        0    lo0
192.168.99.152/29  link#50            U           0     8205 vlan17
192.168.99.153     link#51            UH          0        0 carp17
192.168.99.157     link#50            UHS         0        0    lo0
192.168.100.0/24   192.168.100.1      UGS         0  1969670   tun0
192.168.100.1      link#52            UH          0        0   tun0
192.168.101.0/24   192.168.101.1      UGS         0   235993   tun1
192.168.101.1      link#53            UH          0        0   tun1
192.168.102.0/24   192.168.98.2       UG1         0        0 vlan98
192.168.103.0/24   192.168.98.2       UG1         0        0 vlan98
192.168.104.1      link#54            UHS         0        0    lo0
192.168.104.2      link#54            UH          0        0   tun2
192.168.104.5      192.168.104.2      UGH1        0        0   tun2
192.168.104.6      192.168.98.2       UGH1        0        0 vlan98
192.168.104.9      link#55            UHS         0        0    lo0
192.168.104.10     link#55            UH          0        0   tun3
192.168.104.13     192.168.104.2      UGH1        0        0   tun2
192.168.104.14     192.168.98.2       UGH1        0        0 vlan98
192.168.105.0/24   link#56            U           0    44550   tap0
192.168.105.1      link#56            UHS         0        0    lo0
192.168.106.0/24   link#57            U           0        0   tap1
192.168.106.1      link#57            UHS         0        0    lo0
192.168.107.0/24   192.168.98.2       UG1         0        0 vlan98
192.168.108.0/24   192.168.98.2       UG1         0        0 vlan98
192.168.110.0/24   link#3             U           1 64002389    em0
192.168.110.1      link#3             UHS         0        0    lo0
0.0.1.13      10.166.12.18       UGHS        0  1485669 vlan20
0.0.0.240/28  link#11            U           0   712027 vlan20
0.0.0.241     link#11            UHS         0        0    lo0
0.0.0.243     link#12            UH          0        0 carp20

VPN2

Код: Выделить всё

default            0.0.0.254     UGS         0   194319 vlan20
10.0.9.0/24        192.168.104.6      UG1         0        0   tun2
10.0.10.0/24       192.168.104.6      UG1         0        0   tun2
10.0.11.0/24       192.168.104.6      UG1         0        0   tun2
10.0.12.0/24       192.168.104.6      UG1         0        0   tun2
10.0.13.0/24       192.168.104.6      UG1         0       22   tun2
10.10.10.0/24      192.168.104.6      UG1         0      165   tun2
10.168.97.0/24     192.168.104.6      UG1         0        0   tun2
10.168.99.28/30    192.168.104.6      UG1         0        0   tun2
10.168.99.64/30    192.168.104.6      UG1         0        0   tun2
10.168.201.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.201.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.202.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.203.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.203.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.204.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.204.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.205.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.205.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.206.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.206.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.209.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.211.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.212.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.213.0/24    192.168.107.213    UG1         0      346   tap0
10.168.214.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.215.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.216.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.216.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.218.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.218.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.219.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.219.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.221.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.222.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.222.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.226.0/25    192.168.98.1       UG1         0        0 vlan98
10.168.226.128/25  192.168.98.1       UG1         0        0 vlan98
10.168.227.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.228.0/24    192.168.98.1       UG1         0        0 vlan98
10.168.229.0/24    192.168.98.1       UG1         0        0 vlan98
127.0.0.1          link#10            UH          0      168    lo0
192.168.0.0/30     link#13            U           0        0 vlan20
192.168.0.1        link#13            UHS         0        0    lo0
192.168.80.0/24    192.168.104.6      UG1         0        0   tun2
192.168.97.0/24    link#15            U           0        0 vlan97
192.168.97.22      link#15            UHS         0        0    lo0
192.168.98.0/24    link#17            U           0      524 vlan98
192.168.98.2       link#17            UHS         0        0    lo0
192.168.99.0/29    link#18            U           0       25  vlan1
192.168.99.6       link#18            UHS         0        0    lo0
192.168.99.8/29    link#20            U           0        0  vlan2
192.168.99.14      link#20            UHS         0        0    lo0
192.168.99.16/28   link#22            U           0        0  vlan3
192.168.99.30      link#22            UHS         0        0    lo0
192.168.99.32/28   link#26            U           0        2  vlan5
192.168.99.46      link#26            UHS         0        0    lo0
192.168.99.48/29   link#28            U           0        0  vlan6
192.168.99.54      link#28            UHS         0        0    lo0
192.168.99.56/29   link#30            U           0        0  vlan7
192.168.99.62      link#30            UHS         0        0    lo0
192.168.99.64/29   link#32            U           0        0  vlan8
192.168.99.70      link#32            UHS         0        0    lo0
192.168.99.72/29   link#24            U           0        0  vlan4
192.168.99.78      link#24            UHS         0        0    lo0
192.168.99.80/28   link#34            U           0        0  vlan9
192.168.99.94      link#34            UHS         0        0    lo0
192.168.99.96/29   link#36            U           0      199 vlan10
192.168.99.102     link#36            UHS         0        0    lo0
192.168.99.104/29  link#38            U           0        0 vlan11
192.168.99.110     link#38            UHS         0        0    lo0
192.168.99.112/29  link#40            U           0        0 vlan12
192.168.99.118     link#40            UHS         0        0    lo0
192.168.99.120/29  link#42            U           0        1 vlan13
192.168.99.126     link#42            UHS         0        0    lo0
192.168.99.128/29  link#44            U           0        0 vlan14
192.168.99.134     link#44            UHS         0        0    lo0
192.168.99.136/29  link#46            U           0        0 vlan15
192.168.99.142     link#46            UHS         0        0    lo0
192.168.99.144/29  link#48            U           0        0 vlan16
192.168.99.150     link#48            UHS         0        0    lo0
192.168.99.152/29  link#50            U           0        0 vlan17
192.168.99.158     link#50            UHS         0        0    lo0
192.168.100.0/24   192.168.98.1       UG1         0      240 vlan98
192.168.101.0/24   192.168.98.1       UG1         0        0 vlan98
192.168.102.0/24   192.168.102.1      UGS         0        0   tun0
192.168.102.1      link#52            UH          0        0   tun0
192.168.103.0/24   192.168.103.1      UGS         0        0   tun1
192.168.103.1      link#53            UH          0        0   tun1
192.168.104.1      192.168.104.6      UGH1        0        0   tun2
192.168.104.2      192.168.98.1       UGH1        0        0 vlan98
192.168.104.5      link#54            UHS         0        0    lo0
192.168.104.6      link#54            UH          0        0   tun2
192.168.104.9      192.168.104.6      UGH1        0        0   tun2
192.168.104.10     192.168.98.1       UGH1        0        0 vlan98
192.168.104.13     link#55            UHS         0        0    lo0
192.168.104.14     link#55            UH          0        0   tun3
192.168.105.0/24   192.168.98.1       UG1         0       10 vlan98
192.168.106.0/24   192.168.98.1       UG1         0        0 vlan98
192.168.107.0/24   link#56            U           0        0   tap0
192.168.107.1      link#56            UHS         0        0    lo0
192.168.108.0/24   link#57            U           0        0   tap1
192.168.108.1      link#57            UHS         0        0    lo0
192.168.110.0/24   link#3             U           0   193482    em0
192.168.110.2      link#3             UHS         0        0    lo0
0.0.0.240/28  link#11            U           0      628 vlan20
0.0.0.242     link#11            UHS         0        0    lo0

213-ое подразделение подключено к VPN2, остальные к VPN1.

в такой конфигурации в 213-ом подразделении работает rdp и ssh.
но cups из Services не может передать задание в cups в 213-ом. причем документы до 50к иногда проходят в такой конфигурации, но более 50к не пролазят совсем.

[rustamxp]

- Доктор, меня все игнорируют!
- Следующий!

ни у кого нет идей, или я неправильно оформил вопрос?

[vadim64]

не скажу за всех.
я прекратил участие в треде, потому что такие проблемы можно решать двумя путями
1. доводить до уровня модели, уберая всё не важное для сути проблемы. у такого подхода есть нюансы: если человек сможет грамотно закрыть глаза на всё, не относящееся к проблеме, он сможет сам решить проблему. если человек не сможет грамотно закрыть глаза на всё, не относящееся к проблеме, то этот способ не сработает
2. проблема решается как есть, со всеми сложностями от не маленького количества выносов, сетей и направлений. в таком формате проблемы решаются не на форумах сообщества, а на форумах платной поддержки или приглашаются люди


если коротко по Вашей проблеме: не все ключевые узлы Вашей сети имеют необходимые маршруты в соих таблицах маршрутизации

[rustamxp]

я не прошу решить за меня проблему. я задал конкретный вопрос: "почему если в обратном маршруте пакета появляется еще один маршрутизатор, приложения не могут нормально функционировать?"

Вы попросили таблицу маршрутизации, я приложил к ней схему сети, что бы можно было понять эту таблицу.

не все ключевые узлы Вашей сети имеют необходимые маршруты в соих таблицах маршрутизации

на каждом маршрутизаторе есть абсолютно все сети. пакеты уходят и возвращаются. и даже приложения успешно обмениваются малыми объемами данных (до 50к).

можно, конечно, повесить нат на интерфейсы, которые обращены к services, тогда пакеты будут возвращаться тем же маршрутом... но это некрасивое решение.

если это слишком сложный вопрос, что бы обсуждать его на форуме, извините за потраченное время.
отпишусь когда найду решение - вдруг кому пригодиться.

[rustamxp]

с натом я поторопился. это решит только соединения в одну сторону (branches -> services)