[GTER] VRF-lite em Mikrotik

Douglas Fischer fischerdouglas at gmail.com
Mon Mar 16 10:39:39 -03 2015 

Obrigado pela resposta!

Fiz os testes que recomendou(filter rule), e não tive sucesso.
O status é o mesmo:
Ping OK, serviços FORA.

Fiz um teste complementar, que me indicou que o galho está na verdade na
inabilidade do listener do serviço escutar numa VRF.
 - Tudo configurado(Interface Gerenciamento, VRF, Rotas, Filter Rules,
etc...)
 A - SSHzei contra o IP de gerenciamento
     - Torch mostra conexão chegando
     - Tentativa morre por Timeout
 B - Desabilitei o Serviço do SSH, e SSHzei denovo contra o IP do
Gerenciamento
     - Torch mostra conexão chegando
     - Tomei um Connection Refused na orelha
     - Torch mostrou a resposta(refused) saindo do IP do gerenciamento.


Se isso fosse um server linux, eu iria tentar fazer uma baguncinha no
sshd.conf.

Minha próxima tentativa de gambiarra vai ser fazer um NAT do IP do
Gerenciamento( que está na VRF do gerenciamento) apontando para uma
Loopback(bridge) fora do VRF.
Imagino que com o Contrack e NAT eu consiga manipular melhor essas idas e
vindas de VRF.



P.S.:
Sinceramente, do ponto de vista do protocolo, não faz sentido algum eu
necessitar fazer PBR para dizer que aquele pacote que chega naquela
interface deve ser jogado para o VRF em que a Interface já está
adicionada... Isso é premissa básica de VRF-Lite.
Usar PBR só faria sentido se eu quisesse transbordar pacotes de um VRF para
o outro.

​​


Em 14 de março de 2015 12:13, Geeek Masters <rgeeek at gmail.com> escreveu:

> Bom o VRF propriamente dito é somente para forward, o errado ainda é você
> conseguir pingar algo da table main para uma VRF, (Aqui ja responde o item
> 3, creio eu, Existe bugs de furo de ICMP no mikrotik com VRF basta você
> procurar no fórum oficial).
>
>
> VRF Lite:
>
> Tentei fazer o mesmo com a RouterBoard, mas não tive sucesso...
> 1 - OK
> 2 - OK
> 3 - OK (Ok, pelo menos para o Ping)
> 4 - ??? Como eu digo que os serviços devem acontecer nessa VRF ???
>     ??? Winbox/SSH/Telnet/HTTP dão timeout ???
>
>
> 4 - R: para acesso você precisa usar PBR e manipular como a tabela vai se
> comportar, é bem simples não precisa de mangle, lembre-se você esta usando
> uma tabela virtual.
>
> /ip route rule
> > add src-address=Seu ip de Origem table=Sua tabela VRF
> > add dst-address=Seu ip de Oigem table=Sua tabela VRF
>
>
> E sim isso é uma gambiarra, a VRF só deveria ser usava para encaminhar
> trafego de seu cliente.
>
> Dica, use a Versao 6.11 ou maior!
>
> Em 13 de março de 2015 18:53, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > Senhores,
> > ​estou fazendo um deploy de duas CCR1036 que serão usadas para Roteamento
> > BGP de Borda de Internet(prioritariamente), e para QinQ de algumas Vlans.
> >
> > Um dos requisitos do cliente é isolar o Gerenciamento em Tabelas de
> > Roteamento diferentes.
> >
> > Costumo fazer isso em Cisco:
> > 1 - Subindo uma VRF especifica para gerenciamento
> > 2 - Colocando a interface ​de gerenciamento na VRF
> > 3 - Definindo o roteamento da VRF de gerenciamento (rota estática)
> > 4 - Amarrando a Control-Plane da Caixa na interface de gerenciamento.
> >
> > Tentei fazer o mesmo com a RouterBoard, mas não tive sucesso...
> > 1 - OK
> > 2 - OK
> > 3 - OK (Ok, pelo menos para o Ping)
> > 4 - ??? Como eu digo que os serviços devem acontecer nessa VRF ???
> >     ??? Winbox/SSH/Telnet/HTTP dão timeout ???
> >
> >
> > ​Alguns amigos me orientaram a tentar alguma intervenção com o
> Mark-Routing
> > no pre-routing usando o Mangle.
> > Não funcionou...(E sinceramente tem uma cara de gambiarra FORTE).
> >
> >
> > ....
> > ....
> >
> > Chegou um momento que desisti de pelejar e resolvi inverter.
> > Deixei o gerenciamento na "main" e criei uma VRF chamada "internet"
> >
> >
> > O problema agora passou a ser a comunicação entre as caixas...
> > - Pingv4 da CCR 1 para Router-Borda da operadora -> OK
> > - Pingv4 da CCR 2 para Router-Borda da operadora -> OK
> > - Pingv4 da CCR 1 para CCR 2 (e recíproca) -> OK
> > Tudo isso na mesma vlan
> >
> > E para me deixar mais locão:
> > Na MESMA VLAN, Pingv6 entre as 3 caixas  -> OK
> >
> >    (P.S.:Seria errado concluir que VRF para IPv6 não existe me Mikrotik?)
> >
> >
> > Chegou nesse ponto, larguei as bets...
> >
> >
> >
> > Alguém tem alguma sugestão?
> >
> >
> >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list