и в dst address фильра укажи тот хост который пингуешь и смотришь на обоих роутерах - проходит ли трафик и где он погибает

неужто никто не хотел такого странного?)

коллеги, есть у кого-нибудь опыт терминации большого кол-ва EoIP-тоннелей на микротике? например 1000 тоннелей

антон, покажи эти маршруты, сделай експорт

add distance=1 gateway=195.88.62.129 add distance=1 dst-address=192.168.2.0/24 gateway=192.168.5.2 pref-src=192.168.5.1 add check-gateway=ping disabled=yes distance=1 dst-address=192.168.2.0/24 gateway=192.168.5.2 pref-src=192.168.5.1

add distance=1 gateway=195.88.62.129 add distance=1 dst-address=192.168.2.0/24 gateway=192.168.5.2 pref-src=192.168.5.1 add check-gateway=ping disabled=yes distance=1 dst-address=192.168.2.0/24 gateway=192.168.5.2 pref-src=192.168.5.1

disabled=yes

?

add distance=1 gateway=89.237.62.85 add distance=1 dst-address=192.168.1.0/24 gateway=192.168.5.1 pref-src=192.168.5.2 add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=192.168.5.1 pref-src=192.168.5.2

это я вырубил то, что делал через винбокс

и то же самое через консоль прописал

а, ясно

я так понимаю 192.168.5.1 это адреса в тунеле?

да

может у тебя фильтр файрвола режет конекты через ВПН? попробуй поставить первым правилом в фильтре на каждом роутере правило: add action=accept chain=forward in-interface=all-ppp

не помогает

причем на одной роутере нельзя all ppp поставить, только all

его и выбрал

если торчем пинги смотреть - то на роутер они приходят, а дальше в локалку видимо не идут

src пустой приходит -

это нормально или нет?

коллеги, есть у кого-нибудь опыт терминации большого кол-ва EoIP-тоннелей на микротике? например 1000 тоннелей

нет, со слов слышал что, на 2011 строили 200 l2tp тоннелей

если торчем пинги смотреть - то на роутер они приходят, а дальше в локалку видимо не идут

на одном из компов поставь постоянный пинг удаленного хоста смотри в ip firewall connection фильтруй по dst адрес сначала на локальном роутере, затем на удаленном и смотришь состояние соединение и там где соединение инициализировано, но пакеты не ходят (помоему C) - значит пакеты с роутера вылетели, но на удаленной стороне они не были обработаны и так идешь по цепочке, локальный роутер, удаленный роутер, смотришь как приходит пакет, с каким src address пришел (возможно у тебя там нат происходит) или если пакетов не прилетает совсем - значит fw дропнул

у меня вообще какая-то дичь - кроме шлюза 192.168.2.1 пингуется еще 192.168.2.2, хотя такого адреса там нет

и пинг 1мс

В ip-arp что видно?

а в арпе должна сервера должна быть видна подсеть клиента разве?

на одном из компов поставь постоянный пинг удаленного хоста смотри в ip firewall connection фильтруй по dst адрес сначала на локальном роутере, затем на удаленном и смотришь состояние соединение и там где соединение инициализировано, но пакеты не ходят (помоему C) - значит пакеты с роутера вылетели, но на удаленной стороне они не были обработаны и так идешь по цепочке, локальный роутер, удаленный роутер, смотришь как приходит пакет, с каким src address пришел (возможно у тебя там нат происходит) или если пакетов не прилетает совсем - значит fw дропнул

в общем пинг почему-то через внешку идет а не через туннель

в src внешний адрес

соответственно и не проходит

маршруты изучай )

возможно где то с маской ошибся

если с роутера пинговать - то в src виртуальный адрес

и тоже C стоит

скорее всего под нат попадает

сделай в ip frewall nat правило add action=accept chain=srcnat comment=allow src-address=remote-net/24 правило должно находится перед правилом которое у тебя маскарадит во внешний айпи

уж не стоит ли правило срц.ната аутинтерфейсом!=локлака, с екшином=срцнат и ту-адрес=внейшний? типа оно маскарадит ВЕСЬ выходной трафик внешним адресом.

вот да, очень может быть

если с роутера пинговать - то в src виртуальный адрес

покажи экспорт ip firewall nat

еще могут лажать свичи если они есть в локалке. вообще коннект между 2мя локалками изначально лучше проверять не на ПК а на девайсах типа принтеров/телефонов

add action=masquerade chain=srcnat out-interface=ether1

на другом роутере тоже только маскарад

add action=masquerade chain=srcnat out-interface=ether1

ага. оно поправь, направления

т.е. на клиенте поставить впн туннель вместо езер1?

т.е. на клиенте поставить впн туннель вместо езер1?

пару минут, напишу. занят

тут два выхода либо написать правило перед маскарадом add action=accept chain=srcnat comment=allow src-address=remote-net/24 либо в маскараде написать что dst address !=remote net

ну вроде ВПН под езер1 не должен подпадать, это отдельный интерфейс. Да и маскарад не должен мешать пингам. Тут вон была задачка об этом ?. Значит что то другое срц. адрес левый ставит

угу, не помогло мне правило

причем если с компа, который в локалке сервера, пинговать комп в локалке клиента - то в src все правильно стоит

если наоборот - то там внешний IP роутера

случилось чудо, из локалки клиента запинговался комп в локалке сервера

в общем некоторые пк пингуются, а некоторые нет

вообще ничего уже не понимаю

причем пингуется в одностороннем порядке

с этого же компа пингануть тот я не могу

настройки безопасности в винде как вариант

надо с сурсом шлюза сети A проверять доступность шлюза сети B

если пинается и трассировки куда надо - копайте в сторну безопасности

можно временно фильтры поотрубать для тестирования

и да, если секи между собой маршртизируются - наты вообще не нужны, только если на внешку ходить. но это по DST_IP можно зафильтровать

можно временно фильтры поотрубать для тестирования

вообще никаких фильтров нет, в этом то и прикол

вообще никаких фильтров нет, в этом то и прикол

еще раз говорю - тестируй на "тупых" девайсах, а не на ПК

еще раз говорю - тестируй на "тупых" девайсах, а не на ПК

просто в сети клиента только 1 пк, и собственно до него я и не могу достучаться

сейчас 90% ПК по умолчанию на пинги не отвечают

это вообще не показатель

сейчас 90% ПК по умолчанию на пинги не отвечают

litemanager допустим к нему тоже не цепляется

шлюзы между собой доступны?

шлюзы между собой доступны?

да

он же писал что доступны

на данный момент с пк клиента работает почти все

даже в шару самбы зашел

тогда надо компы ковырять

Народ, а CHR как то в логи должен говорить о том что демо кончилось и он теперь режет интерфейсы до мегабита?

по моему опыту конретно с пингом ПК между локалками проблема. тупые девайсы пингуются всегда без проблем, а ПК раз через раз

это не сетевая проблема

ну да, наверное

возможно надо както dhcp объявлять маршруты

у компа должен быть дефолт. все

а, ну маски можно еще проверить

у нас бывает что чел себе /8 пропишет вместо /27 на комп, и удивляется что шлюз доступен а ничего не работает

в общем обнаружил закономерность - с клиентского компа пингуются только те компы, которым адрес назначает dhcp

хотя в арпе на микротике все адреса есть

@Anansy @ManulSpb @akim1 @zCirill @snarkus @erazel https://forum.mikrotik.com/viewtopic.php?t=102908 Гыгы, а проблема действительно известная. Вон в теме - шяоми, 951 как раз. Заебись - normis@ через 2 года после репорта ответил, что решение проблемы займёт дохера времени, и вообще низкий приоритет и не занимаются этим. ? Видимо, в ROS 7 починят, не раньше.

На Redmi Note 4 проблема также подтверждается.

На Redmi Note 4 проблема также подтверждается.

На какой версии ? МТК тоже ? И я так понял это именно проблема сочетания саоми + микротик, без относительно зарезанной частоты в конфиге смарта.

Да, на МТК тоже. Silver 3/64, гейропеец.

На какой версии ? МТК тоже ? И я так понял это именно проблема сочетания саоми + микротик, без относительно зарезанной частоты в конфиге смарта.

huawei honor 8 - та же проблема

Meizu ещё проверьте кто-нибудь.

про wifi затестил интересное на адроид девайсах (xiaomi redmi 3-4, huawei honor 8) из 5ghz у меня на руках только wapAC - там все отлично, что на андроид девайсах, что на ноуте канальные скорости TX от 135 до 500+ из 2.4ghz - RB751U-2HnD - TX 135 (OFDM MIMO) - все ок! RB951-2n и RB951Ui-2HnD и wapAC(на карте с 2.4ghz) - при подключении девайса включается MIMO и иногда согласовывается от 108 до 135, но как только начинают передаваться данные - переключается в 54 (g) На ноуте (asus zenbook310) и iphone6 - mimo работает на всех моделях mikrotik 2.4ghz Все точки подключал последовательно, в один момент работала только одна точка. настройки распространяются capsman

так оно и с ipad ами козлит

Вот поэтому домой максимум hex на шлюз. И unifi на потолок )

Вот поэтому домой максимум hex на шлюз. И unifi на потолок )

54mbit хватит на все! )))

но грустно, да. не смотря на то, что канальная скорость в 2.4 на ноуте поднималась до 135-150 - фактически канал раскачивался 10-30 мбит. на телефонах была такая же ситуация. проверял iperf в комплекте с проводным клиентом.

Вот поэтому домой максимум hex на шлюз. И unifi на потолок )

Домой давно пора что-то двухдиапазонное, типа hAP ac [lite]

Домой давно пора что-то двухдиапазонное, типа hAP ac [lite]

Вот и стоит unifi ap ac lite в разных углах квартиры.

И разделен шлюз от вай-фай. Ни разу не пожалел

Вот и стоит unifi ap ac lite в разных углах квартиры.

и сколько в 2.4 прокачивает?

Надеюсь, кабелем завязаны?