#️⃣Configuring the Mikrotik

В данном разделе представлены процессы конфигурации компонентов роутеров Mikrotik

Схема рассматриваемой сети

Схема стенда

Для начала необходимо произвести стандартную процедуру развертки образа операционной системы (RouterOS). В нашем случае каждый Mikrotik разворачивается из одного .ova файла:

Открытие ova-образа средствами VMware

Создаем непосредственно виртуальные машины и через настройки каждой отдельной ВМ настраиваем сетевые интерфейсы в соответствии со схемой стенда:

Создание ВМ

Создание сетевых интерфейсов

После этого, запускаем виртуальные машины и назначаем пароль для пользователя admin (первичные данные для входа - admin:<No password>):

Установка пароля для admin

Далее необходимо установить оконечные узлы сети (компьютеры). Для этих целей мы будем использовать lubuntu для того, чтобы не перегружать ресурсы хостовой ОС. Также необходимо установить сетевые интерфейсы для ВМ средствами VMware (IP-адреса не настраиваем на данном этапе!). На этом мы останавливаться не будем.

1. Настройка имени хоста

В Mikrotik изменить параметр hostname можно следующим образом:

Изменение имени хоста

2. Настройка сетевых интерфейсов - статические IP-адреса

Чтобы посмотреть сетевые интерфейсы, которые установлены на роутере, необходимо ввести команду interface print

Список сетевых интерфейсов

Чтобы вывести список установленных IP-адресов, необходимо воспользоваться командой ip address print

Список установленных IP-адресов

На данный момент список пуст, так как мы не устанавливали IP-адреса. Чтобы добавить IPv4 адреса, необходимо воспользоваться командой ip address add address=<IP/mask> interface=<ether№>

Пример установки IP-адресов на CHR1

Как видим, после установки IP-адресов, список обновился, но представим ситуацию, когда мы ошиблись с установкой IP-адреса, как показано на рисунке ниже:

Пример ошибки

В таком случае необходимо удалить лишний IP-адрес при помощи соответствующей команды ip address remove numbers=<#-number> . В нашем случае, список IP-адресов содержит лишнюю запись под номером 2, поэтому в качестве аргумента numbers указывается номер 2:

Удаление лишней записи

Полный список команд для конфигурации маршрутизаторов в рамках стенда:

CHR1:
ip address add address=10.10.11.1/30 interface=ether1
ip address add address=10.10.10.2/30 interface=ether2
ip address add address=192.168.10.1/24 interface=ether3

CHR2:
ip address add address=10.10.11.2/30 interface=ether1
ip address add address=10.10.12.1/30 interface=ether2
ip address add address=192.168.11.1/24 interface=ether3

CHR3:
ip address add address=10.10.12.2/30 interface=ether1
ip address add address=10.10.13.1/30 interface=ether2
ip address add address=192.168.12.1/24 interface=ether3

CHR4:
ip address add address=10.10.13.2/30 interface=ether1
ip address add address=10.10.10.1/30 interface=ether2
ip address add address=192.168.13.1/24 interface=ether3

3. Настройка раздачи IP-адресов через DHCP

3.1. Автоматизированная конфигурация DHCP-сервера

После того, как мы настроили все IP-адреса на наших CHR, необходимо настроить IP-адреса на оконечных узлах (lubuntu), но сделаем мы это посредством DHCP. Другими словами, мы будем создавать DHCP-сервер на одном из сетевых интерфейсов микротиков (те, которые связаны с lubuntu) и получать адрес от создаваемого DHCP-сервера на lubuntu-хостах.

DHCP-сервер средствами CLI в RouterOS можно реализовать двумя разными способами. Самый простой из них - автоматический:

Автоматическая настройка DHCP-сервера встроенными автоматизированными средствами

Как видно на рисунке выше, нам достаточно ввести одну команду ip dhcp-server setup и далее нам останется только выбрать параметры DHCP-сервера по предложенным пунктам. При этом, что самое удобное, при таком способе конфигурации Mikrotik (если настроены сетевые интерфейсы) сам предлагает выставить параметры относительно параметров IPv4 на выбранном сетевом интерфейсе. Единственное, что я лично поменял - addresses to give out

Нам остается только настроить сетевой интерфейс на прием адреса от DHCP на lubuntu, которая должна быть связана с CHR1:

Настройка сетевого интерфейса на lubuntu, связанной с CHR1

Проверка выдачи IP-адреса и связи с DHCP-сервером

Как можно заметить, lubuntu получила адрес 192.168.10.15/24, а также мы проверили доступность DHCP-сервера.

3.2. Ручная конфигурация DHCP-сервера

Теперь посмотрим альтернативный способ настройки DHCP-сервера на примере CHR2 и связанной с этим маршрутизатором lubuntu. Полный конфиг для ручной настройки DHCP-сервера на CHR2:

ip pool add name=dhcp_CHR2_lubuntu ranges=192.168.11.2-192.168.11.100
ip dhcp-server add address-pool=dhcp_CHR2_lubuntu disabled=no interface=ether3 name=dhcp_CHR2
ip dhcp-server network add address=192.168.11.0/24 gateway=192.168.11.1

Пример ручной настройки DHCP-сервера

Проверяем выдачу IP-адреса:

Проверка выдачи IP-адреса при настроенном вручную DHCP-сервере

Чтобы посмотреть список активных DHCP-серверов необходимо воспользоваться командой ip dhcp-server print

Список DHCP-серверов

Далее необходимо настроить DHCP-сервера на CHR3 и CHR4 любым из представленных ранее способов. Для CHR3 пул выдаваемых адресов 192.168.12.2-192.168.12.75, а для CHR4 - 192.168.13.2-192.168.13.75.

4. Работа с пользователями

Для того, чтобы посмотреть список доступных пользователей в системе, необходимо воспользоваться командой user print

Список пользователей на CHR1

Добавление пользователей производится при помощи команды user add name=<username> password=<password> group=<group>

Создание пользователя user1 на CHR1

Список доступных групп можно посмотреть при помощи команды user group print

Список доступных групп на CHR1

Чтобы войти под новым пользователем, необходимо сначала выйти из старого при помощи команды quit и зайти уже в нового пользователя.

Список других полезных команд для управления пользователями:

user disable <username> - отключение УЗ
user enable <username>  - активация УЗ
user set name=<username> paswword=<password> - смена пароля при условии, что <username> есть в системе

5. Настройка SSH, закрытие портов

Теперь займемся настройкой SSH для CHR1. Для начала сменим порт подключения с 22 на 2022. Для того, чтобы сменить порт для подключения по SSH, необходимо воспользоваться командой /ip service edit ssh value-name=port, после ввода команды откроется окно, куда необходимо ввести новое значение порта для SSH:

Смена порта для SSH

Нажимаем Ctrl + O для сохранения измененного параметра. Пробуем подключиться с lubuntu:

Проверка подключения по порту 2022

6. Настройка Firewall

Для просмотра активных правил компонента Firewall необходимо воспользоваться командой ip firewall filter print, но по-умолчанию никаких правил нет. Разберемся с тем, относительно чего формируются правила.

Одним из базовых понятий настройки файервола Mikrotik является цепочка (chain). По умолчанию их 3, но есть возможность и создания собственных цепочек:

1. Цепочка INPUT — входящий трафик, приходящий на маршрутизатор.

2. Цепочка OUTPUT — исходящий трафик, создаваемый маршрутизатором.

3. Цепочка FORWARD — трафик, проходящий сквозь через маршрутизатор.

Если к нам должен прийти какой-либо трафик извне, например, из интернета, то мы его будем обрабатывать цепочкой INPUT. Чтобы обработать правилами трафик, уходящий наружу (например, в тот же интернет), задействуем цепочку OUTPUT. Если же наш маршрутизатор не находится на границе сети, а служит промежуточным узлом между сетями, то тогда для обработки трафика применяем цепочку FORWARD.

Попробуем создать несколько правил (они не зависят друг от друга, после создания каждого правила следует незамедлительное его удаление) на CHR1:

1. Блокировать все подключения из подсети 192.168.10.0/24;

2. Блокировать ICMP-запросы от 192.168.10.0/24.

6.1. Создание первого правила

Для того, чтобы блокировать все подключения со стороны какой-либо подсети, мы должны создать список адресов, где будут указаны хосты/сети, относительно которых будет производится то или иное действие. Создать такой список можно при помощи команды ip firewall address-list add list=<list_name> address=<IP-net_or_host/hosts>

Создание листа

Создание правила для блокирования всех входящих подключений

Пробуем подключиться по SSH со стороны lubuntu, а также пропинговать CHR1:

Проверка работоспособности правила 1

Как видим, мы не можем подобраться к CHR1. Не работает ICMP и SSH. Удалим правило при помощи команды ip firewall filter remove numbers=0

Удаление правила

Можно также не удалять правило, а просто его отключить. Кстати, параметр number имеет значение 0 ввиду того, что мы создавали первое правило, а первое правило в списке имеет значение (номер) 0.

6.2. Создание второго правила

Далее заблокируем только трафик ICMP со стороны подсети 192.168.10.0/24. Делаем это следующим образом:

Создание второго правила

Здесь мы уже применяем немного другую структуру - НЕ УКАЗЫВАЕМ СПИСОК, который мы создали ранее, хотя и могли, применив все тот же dst-address-list, сделал я это исключительно в качестве примера различных вариаций настроек. Теперь проверяем правило:

Проверка работоспособности правила 2

Как видим, теперь блокируется конкретно ping (ICMP), а SSH, в отличие от первого правила, нам по-прежнему доступен. Удаляем/деактивируем правило и движемся дальше

7. Создание резервной копии

Резервная копия для Mikrotik создается достаточно просто при помощи следующей команды:

system backup save name="<file-name>" password=<password>

Создание бэкапа

Проверить файл можно, введя команду file print:

Файл с бэкапом

Советую перед дальнейшей настройкой сделать бэкапы на всех маршрутизаторах

8. Настройка динамической маршрутизации на основе OSPF

OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.

Сразу представлю полный конфиг для настройки OSPF на всех маршрутизаторах рассматриваемой сети:

CHR1:
/routing ospf network add network=10.10.11.0/30 area=backbone
/routing ospf network add network=10.10.10.0/30 area=backbone
/routing ospf network add network=192.168.10.0/24 area=backbone
/routing ospf instance set default router-id=1.1.1.1
/routing ospf instance enable default

CHR2:
/routing ospf network add network=10.10.11.0/30 area=backbone
/routing ospf network add network=10.10.12.0/30 area=backbone
/routing ospf network add network=192.168.11.0/24 area=backbone
/routing ospf instance set default router-id=2.2.2.2
/routing ospf instance enable default

CHR3:
/routing ospf network add network=10.10.12.0/30 area=backbone
/routing ospf network add network=10.10.13.0/30 area=backbone
/routing ospf network add network=192.168.12.0/24 area=backbone
/routing ospf instance set default router-id=3.3.3.3
/routing ospf instance enable default

CHR4:
/routing ospf network add network=10.10.10.0/30 area=backbone
/routing ospf network add network=10.10.13.0/30 area=backbone
/routing ospf network add network=192.168.13.0/24 area=backbone
/routing ospf instance set default router-id=4.4.4.4
/routing ospf instance enable default

Суть в том, чтобы вначале объявить на каждом маршрутизаторе подсети, которые будут участвовать в процессе маршрутизации, затем создать instance (процесс для работы OSPF) и установить для каждого CHR router-id. Параметр area мы будем использовать со стандартным значением backbone.

После настройки всех 4х маршрутизаторов необходимо проверить работоспособность сети. В нашем случае все lubuntu должны быть доступны друг для друга. Проверяем:

ICMP CHR1 - CHR3

ICMP CHR2- CHR4

Перед настройкой RIP необходимо выключить OSPF, например, при помощи routing ospf instance disable numbers=0

9. Настройка динамической маршрутизации на основе RIP

RIP (англ. Routing Information Protocol) — это протокол дистанционно-векторной маршрутизации. Маршрутизаторы, работающие через этот протокол, отправляют всю или часть своей таблицы маршрутизации соседям в сообщении для обновления.

Полный конфиг для настройки RIP на маршрутизаторах:

CHR1:
/routing rip network add network=10.10.11.0/30
/routing rip network add network=10.10.10.0/30
/routing rip network add network=192.168.10.0/24
/routing rip neighbor add address=10.10.11.2
/routing rip neighbor add address=10.10.10.1

CHR2:
/routing rip network add network=10.10.11.0/30
/routing rip network add network=10.10.12.0/30
/routing rip network add network=192.168.11.0/24
/routing rip neighbor add address=10.10.11.1
/routing rip neighbor add address=10.10.12.2

CHR3:
/routing rip network add network=10.10.12.0/30
/routing rip network add network=10.10.13.0/30
/routing rip network add network=192.168.12.0/24
/routing rip neighbor add address=10.10.12.1
/routing rip neighbor add address=10.10.13.2

CHR4:
/routing rip network add network=10.10.10.0/30
/routing rip network add network=10.10.13.0/30
/routing rip network add network=192.168.13.0/24
/routing rip neighbor add address=10.10.10.2
/routing rip neighbor add address=10.10.13.1

В данном случае мы всего лишь объявляем все подсети, которые относятся непосредственно к настраиваемому маршрутизатору, а также добавляем соседей (маршрутизаторы, которые имеют прямое соединение друг с другом). При проверке работоспособности маршрутизации мы должны получить точно такой же результат, что и при настройке OSPF.

ICMP CHR1 - CHR3

ICMP CHR2- CHR4

Список дополнительных команд:

/routing rip network print  - список сетей, обслуживаемых RIP
/routing rip neighbor print - список соседей, обслуживаемых RIP

Перед настройкой BGP, удалим все, что связано с RIP при помощи следующих команд:

/routing rip network remove numbers=0,1,2 (у нас было по 3 подсети в RIP для каждого маршрутизатора)
/routing rip neighbor remove numbers=0,1 (у каждого из 4 маршоутизаторов было по 2 соседа)

10. Настройка динамической маршрутизации на основе BGP

BGP (англ. Border Gateway Protocol) - Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС (AS-номер вашей организации или провайдера), англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети.

По умолчанию, все Mikrotik'и имеют одинаковый стандартный instance:

Стандартное состояние для BGP в каждом Mikrotik

В отличие от OSPF, здесь необходимо настраивать не только router-id, но и сделать разными номера as. В рамках данного материала мы будем изменять default instance при помощи set, но можно добавить и новый с помощью /routing bgp instance add name=<instance_name> router-id=<router_id> as=<asn_org_number>.

Вторым этапом следует настройка BGP Peer - эта операция на самом деле схожа с добавлением сетей, только в данном случае это делается немного по-другому ввиду особенностей работы BGP.

CHR1:
/routing bgp instance set default router-id=1.1.1.1 as=65001
/routing bgp peer add remote-address=10.10.11.2 remote-as=65002 instance=default
/routing bgp peer add remote-address=10.10.10.1 remote-as=65004 instance=default
/routing bgp peer enable numbers=0,1
/routing bgp network add network=192.168.10.0/24

CHR2:
/routing bgp instance set default router-id=2.2.2.2 as=65002
/routing bgp peer add remote-address=10.10.11.1 remote-as=65001 instance=default
/routing bgp peer add remote-address=10.10.12.2 remote-as=65003 instance=default
/routing bgp peer enable numbers=0,1
/routing bgp network add network=192.168.11.0/24

CHR3:
/routing bgp instance set default router-id=3.3.3.3 as=65003
/routing bgp peer add remote-address=10.10.12.1 remote-as=65002 instance=default
/routing bgp peer add remote-address=10.10.13.2 remote-as=65004 instance=default
/routing bgp peer enable numbers=0,1
/routing bgp network add network=192.168.12.0/24

CHR4:
/routing bgp instance set default router-id=4.4.4.4 as=65004
/routing bgp peer add remote-address=10.10.10.2 remote-as=65001 instance=default
/routing bgp peer add remote-address=10.10.13.1 remote-as=65003 instance=default
/routing bgp peer enable numbers=0,1
/routing bgp network add network=192.168.13.0/24

Вновь проверим работоспособность настроенной маршрутизации:

ICMP CHR1 - CHR3

ICMP CHR2- CHR4

Прочие полезные команды для работы с BGP:

/routing bgp peer print detail - детальный вывод информации о peer'ах, которые мы настраивали ранее для связи между маршрктизаторами
/routing bgp network print detail - информация о сетях в BGP

С маршрутизацией мы закончили. Но перед тем, как переходить к следующему пункту, советую оставить какой-либо из видов рассмотренной маршрутизации, т.к. далее без нее мы не сможем поднять GRE-туннель между CHR1 и CHR3. Я же буду использовать OSPF.

11. GRE over IPsec (на базе OSPF)

Добавим нововведение в нашу изначальную схему:

Изменение схемы сети

Здесь мы добавим GRE-туннель совместно с IPsec, но для начала немного теории.

GRE (англ. Generic Routing Encapsulation) - это протокол туннелирования, который используется для инкапсуляции пакетов IP в кадры сетевого уровня других протоколов. Он позволяет передавать IP-пакеты через сети, которые не поддерживают протокол IP напрямую, или для обеспечения соединения между сетями, которые используют разные протоколы сетевого уровня. GRE-туннели могут быть использованы для объединения сетей, обеспечения маршрутизации между разными сетевыми устройствами и для других сетевых задач.

IPsec (англ. Internet Protocol Security) - это набор протоколов для обеспечения безопасности и защиты данных в сети Интернет. Он позволяет обеспечить защиту сетевых соединений, аутентификацию и шифрование данных, а также контроль доступа к ресурсам сети. IPsec работает на уровне интернет-протокола (IP) и является стандартом безопасности для передачи данных в Интернете.

Принципы работы:

GRE в связке с IPsec и IPsec в связке с GRE

Мы будем реализовывать GRE over IPsec в самом простом его исполнении для RouterOS. При этом не забываем убедиться, что у нас корректно работает маршрутизация на основе протокола OSPF, иначе GRE-туннель не будет работать. Введем следующие команды на указанные хосты:

CHR1:
/interface gre add allow-fast-path=no ipsec-secret=<YOUR_PASSWORD> local-address=10.10.11.1 mtu=1380 name=GRE_CHR1_CHR3 remote-address=10.10.12.2
/ip address add address=172.16.10.1 interface=GRE_CHR1_CHR3 network=172.16.10.2

CHR3:
/interface gre add allow-fast-path=no ipsec-secret=<YOUR_PASSWORD> local-address=10.10.12.2 mtu=1380 name=GRE_CHR3_CHR1 remote-address=10.10.11.1
/ip address add address=172.16.10.2 interface=GRE_CHR1_CHR3 network=172.16.10.1

Для начала создается отдельный интерфейс для GRE. При создании указываются IP-адреса, между которыми будет поднято впоследствии соединение (туннель). Если посмотреть на схему, то можно заметить, что прямого соединения между CHR1 и CHR3 нет, но указываются именно их адреса. Здесь как раз-таки и всплывает необходимость маршрутизации. Если будет маршрутизация - будут пути, будут пути - будет соединение. Далее уже созданному интерфейсу присваиваем IP-адрес - это уже будет новый IP, который работает поверх базовых адресов, участвующих в маршрутизации.

Проверим созданные интерфейсы:

GRE-интерфейс на CHR1

GRE-интерфейс на CHR3

Проверим IP-адреса:

IP-адрес GRE на CHR1

IP-адрес GRE на CHR3

Теперь посмотрим, как проходят маршруты. Для начала посмотрим, какой маршрут имеют адреса 10.10.11.1 и 10.10.12.2 (OSPF):

Проверка маршрута, не используя GRE, между CHR1 и CHR3

Как видим, есть переход через CHR2, а что если сделать tracert для GRE:

Проверка маршрута, используя GRE, между CHR1 и CHR3

В данном случае соединение показано напрямую, а это значит, что GRE-активен, но не забываем, что GRE всего лишь инкапсулирует трафик, а значит он просто скрывает последовательность маршрута, т.е. другими словами, трафик, идущий через GRE проделывает тот же маршрут, что и при маршрутизации через OSPF, но скрывает это.

12. DHCP-клиент

Мы на финишной прямой - вновь расширим нашу схему

Расширение стенда

Как видим, мы добавим интерфейс на микротике, на который приходит Интернет. Наша задача состоит в том, чтобы раздать Интернет на Lubuntu-1. Для этого сначала добавим интерфейс к CHR-1 средствами VMware:

Настройки VMnet0, который отвечает за Интернет

Добавление интерфейса 4 для CHR-1

Проверяем новый сетевой интерфейс непосредственно на CHR-1:

Появление нового интерфейса (ether4) на CHR-1

Параметры адресации

Как видим, сетевой интерфейс ether4 не имеет IP-адреса. При этом, на VMnet0 стоит раздача IP-адресов, значит, нам необходимо включить DHCP-клиент на ether4, чтобы получить IP-адрес из диапазона VMnet0. Делается это крайне просто:

CHR-1:
/ip dhcp-client add interface=ether4
/ip dhcp-client enable numbers=<DHCP-client_number> - можно проверить, используя /ip dhcp-client print detail и это стоит сделать, потому что не факт, что это будет клиент под номером 0

После активации DHCP-клиента проверим наличие IP-адреса на ether4:

Появление IP-адреса на ether4

В записях на рисунке выше можно заметить, что у ether4 появился IP-адрес, причем запись отмечена с помощью буквы "D", что говорит нам о том, что IP-адрес получен через DHCP, поэтому является динамическим. Проверим доступность Интернета:

Проверка достпности Интернета на CHR-1

Далее настроим NAT, чтобы иметь возможность выхода в Интернет через Lubuntu-1.

13. Настройка NAT

NAT (англ. Network Address Translation) - это технология, которая позволяет нескольким устройствам в локальной сети использовать один и тот же внешний IP-адрес при выходе в интернет.

Проще говоря, NAT подменяет адреса устройств таким образом, что для внешнего мира они выглядят, как будто это одно устройство с одним IP-адресом, а внутри сети каждое устройство имеет свой собственный адрес. Благодаря NAT можно сэкономить на покупке большого количества выделенных IP-адресов, а также обеспечить дополнительную безопасность, так как внешние злоумышленники не смогут определить, какие устройства подключены к сети.

Введем следующую команду на CHR-1:

CHR-1:
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether4

Команда добавляет правило в цепочку srcnat (Source NAT) в брандмауэре IP. Это правило позволяет выполнять преобразование сетевых адресов (NAT) на исходящем интерфейсе ether4.

Теперь установим статический IP-адрес на сетевом интерфейсе lubuntu-1 (обязательно учитываем параметр Gateway):

Установка статического IP-адреса на lubuntu-1

Наслаждаемся наличием интернета на lubuntu-1:

Проверка доступности Интернета на lubuntu-1

При этом у нас активна маршрутизация на основе OSPF, но она в данном вопросе никак не препятствует и не влияет на доступность Интернета.

14. Настройка loopback-интерфейса

Переходим к заключительному этапу - создадим loopback-интерфейс, добавим его в OSPF и попробуем реализовать ping на этот интерфейс из другого сегмента сети.

Loopback-интерфейс (или петлевой интерфейс) - это виртуальный сетевой интерфейс, который создает программное обеспечение сетевой операционной системы (например, Linux, Windows или macOS). Он используется для различных целей, включая тестирование, отладку и разработку сетевых приложений.

Loopback-интерфейс действует как канал обратной связи для сетевых приложений, позволяя им отправлять и получать данные без необходимости подключения к физической сети. Все данные, отправленные на loopback-интерфейс, обрабатываются внутри системы и не передаются на другое оборудование. Это обеспечивает безопасную и контролируемую среду для тестирования и отладки сетевого кода без риска нарушения работы реальной сети.

Добавляем loopback-интерфейс:

CHR-3:
/interface bridge add name=loopback protocol-mode=none
/ip address add address=192.168.100.100/24 interface=loopback

Проверяем создание:

Создание loopback-интерфейса

Если мы сейчас попробуем реализовать ping, например, с CHR-1 на CHR-3 (где расположен loopback), то результата не будет, т.к., во-первых, эти два узла не соединены напрямую, а во-вторых, сеть 192.168.100.0/24 не добавлена в OSPF. Исправим это:

CHR-3:
/routing ospf network add network=192.168.100.0/24 area=backbone

Вновь проверим ping с CHR-1 на loopback-интерфейс CHR-3 и радуемся:

Проверка доступности CHR-3 loopback с CHR-1