[GTER] VRF-lite em Mikrotik

Geeek Masters rgeeek at gmail.com
Mon Mar 16 19:54:45 -03 2015 

>
> P.S.:
> Sinceramente, do ponto de vista do protocolo, não faz sentido algum eu
> necessitar fazer PBR para dizer que aquele pacote que chega naquela
> interface deve ser jogado para o VRF em que a Interface já está
> adicionada... Isso é premissa básica de VRF-Lite.
> Usar PBR só faria sentido se eu quisesse transbordar pacotes de um VRF para
> o outro.


Certamente, eu havia entendido que você queria transbordar.

Em 16 de março de 2015 10:39, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Obrigado pela resposta!
>
> Fiz os testes que recomendou(filter rule), e não tive sucesso.
> O status é o mesmo:
> Ping OK, serviços FORA.
>
> Fiz um teste complementar, que me indicou que o galho está na verdade na
> inabilidade do listener do serviço escutar numa VRF.
>  - Tudo configurado(Interface Gerenciamento, VRF, Rotas, Filter Rules,
> etc...)
>  A - SSHzei contra o IP de gerenciamento
>      - Torch mostra conexão chegando
>      - Tentativa morre por Timeout
>  B - Desabilitei o Serviço do SSH, e SSHzei denovo contra o IP do
> Gerenciamento
>      - Torch mostra conexão chegando
>      - Tomei um Connection Refused na orelha
>      - Torch mostrou a resposta(refused) saindo do IP do gerenciamento.
>
>
> Se isso fosse um server linux, eu iria tentar fazer uma baguncinha no
> sshd.conf.
>
> Minha próxima tentativa de gambiarra vai ser fazer um NAT do IP do
> Gerenciamento( que está na VRF do gerenciamento) apontando para uma
> Loopback(bridge) fora do VRF.
> Imagino que com o Contrack e NAT eu consiga manipular melhor essas idas e
> vindas de VRF.
>
>
>
> P.S.:
> Sinceramente, do ponto de vista do protocolo, não faz sentido algum eu
> necessitar fazer PBR para dizer que aquele pacote que chega naquela
> interface deve ser jogado para o VRF em que a Interface já está
> adicionada... Isso é premissa básica de VRF-Lite.
> Usar PBR só faria sentido se eu quisesse transbordar pacotes de um VRF para
> o outro.
>
> ​​
>
>
> Em 14 de março de 2015 12:13, Geeek Masters <rgeeek at gmail.com> escreveu:
>
> > Bom o VRF propriamente dito é somente para forward, o errado ainda é você
> > conseguir pingar algo da table main para uma VRF, (Aqui ja responde o
> item
> > 3, creio eu, Existe bugs de furo de ICMP no mikrotik com VRF basta você
> > procurar no fórum oficial).
> >
> >
> > VRF Lite:
> >
> > Tentei fazer o mesmo com a RouterBoard, mas não tive sucesso...
> > 1 - OK
> > 2 - OK
> > 3 - OK (Ok, pelo menos para o Ping)
> > 4 - ??? Como eu digo que os serviços devem acontecer nessa VRF ???
> >     ??? Winbox/SSH/Telnet/HTTP dão timeout ???
> >
> >
> > 4 - R: para acesso você precisa usar PBR e manipular como a tabela vai se
> > comportar, é bem simples não precisa de mangle, lembre-se você esta
> usando
> > uma tabela virtual.
> >
> > /ip route rule
> > > add src-address=Seu ip de Origem table=Sua tabela VRF
> > > add dst-address=Seu ip de Oigem table=Sua tabela VRF
> >
> >
> > E sim isso é uma gambiarra, a VRF só deveria ser usava para encaminhar
> > trafego de seu cliente.
> >
> > Dica, use a Versao 6.11 ou maior!
> >
> > Em 13 de março de 2015 18:53, Douglas Fischer <fischerdouglas at gmail.com>
> > escreveu:
> >
> > > Senhores,
> > > ​estou fazendo um deploy de duas CCR1036 que serão usadas para
> Roteamento
> > > BGP de Borda de Internet(prioritariamente), e para QinQ de algumas
> Vlans.
> > >
> > > Um dos requisitos do cliente é isolar o Gerenciamento em Tabelas de
> > > Roteamento diferentes.
> > >
> > > Costumo fazer isso em Cisco:
> > > 1 - Subindo uma VRF especifica para gerenciamento
> > > 2 - Colocando a interface ​de gerenciamento na VRF
> > > 3 - Definindo o roteamento da VRF de gerenciamento (rota estática)
> > > 4 - Amarrando a Control-Plane da Caixa na interface de gerenciamento.
> > >
> > > Tentei fazer o mesmo com a RouterBoard, mas não tive sucesso...
> > > 1 - OK
> > > 2 - OK
> > > 3 - OK (Ok, pelo menos para o Ping)
> > > 4 - ??? Como eu digo que os serviços devem acontecer nessa VRF ???
> > >     ??? Winbox/SSH/Telnet/HTTP dão timeout ???
> > >
> > >
> > > ​Alguns amigos me orientaram a tentar alguma intervenção com o
> > Mark-Routing
> > > no pre-routing usando o Mangle.
> > > Não funcionou...(E sinceramente tem uma cara de gambiarra FORTE).
> > >
> > >
> > > ....
> > > ....
> > >
> > > Chegou um momento que desisti de pelejar e resolvi inverter.
> > > Deixei o gerenciamento na "main" e criei uma VRF chamada "internet"
> > >
> > >
> > > O problema agora passou a ser a comunicação entre as caixas...
> > > - Pingv4 da CCR 1 para Router-Borda da operadora -> OK
> > > - Pingv4 da CCR 2 para Router-Borda da operadora -> OK
> > > - Pingv4 da CCR 1 para CCR 2 (e recíproca) -> OK
> > > Tudo isso na mesma vlan
> > >
> > > E para me deixar mais locão:
> > > Na MESMA VLAN, Pingv6 entre as 3 caixas  -> OK
> > >
> > >    (P.S.:Seria errado concluir que VRF para IPv6 não existe me
> Mikrotik?)
> > >
> > >
> > > Chegou nesse ponto, larguei as bets...
> > >
> > >
> > >
> > > Alguém tem alguma sugestão?
> > >
> > >
> > >
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list