Какой тип подключения CAP-клиентов?

L2 или L3?

В теориии я же просто могу поменять в мангле например на icmp и пинговать с винбокса?

Дабы проверить

dst ip адрес и tracert

Я бы DHCP/leases глянул:)

Ок, а если к примеру используются рекурсивные маршруты?

Похоже на туннель

Суть в чём - включать сниффер на контроллере и смотреть обмен трафиком между сервером и клиентом

Суть в чём - включать сниффер на контроллере и смотреть обмен трафиком между сервером и клиентом

Эх, боюсь мне не по силам...

Эх, боюсь мне не по силам...

Там всё просто. Если до клиента не долетает мультикаст, значит, что-то его режет

Эх, боюсь мне не по силам...

Все 5 портов кабелям зняты ?

Суть в чём - включать сниффер на контроллере и смотреть обмен трафиком между сервером и клиентом

Нужно снифирить именно когда пытаюсь соединиться с Эирплэй?

"/ip route add distance=1 dst-address=1.1.1.1/32 gateway=192.168.10.1 routing-mark=isp2 add check-gateway=ping distance=1 gateway=8.8.8.8 add check-gateway=ping distance=2 gateway=8.8.4.4 add distance=1 dst-address=8.8.4.4/32 gateway=192.168.10.1 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=192.168.20.1 scope=10"

Нужно снифирить именно когда пытаюсь соединиться с Эирплэй?

Да. Именно в этот момент

Ок, а если к примеру используются рекурсивные маршруты?

и что ? для проверки шлюза через пинг ?

Все 5 портов кабелям зняты ?

ага

На некоторых точках все 5

и что ? для проверки шлюза через пинг ?

Выше написал, в данном случае трейс работает для интерфеса lte1 только для адреса 8.8.4.4

а других адресов ) можно же яндекс днс

или просто адреса взять

Суть в том что в таком конфиге при пинге и явном указании интерфейса lte1 и указании например яндекс днс в качестве dst получается timeout

Вот мне и не понятно почему

Суть в том что в таком конфиге при пинге и явном указании интерфейса lte1 и указании например яндекс днс в качестве dst получается timeout

ethernet инетрфейс как шлюз можно использовать только когда с другйо стороны включен arp-proxy

когда указан ethernet инетрфейс марзрутизатор сразу пытаеться получить mac адрес по средствам arp поротокла где адрес будет адрес назначения в заголовке пакета

Т.е. при пинге с lte1 77.88.8.8 роутер посмотрит этот адрес в arp таблице? или я неправильно понял

если у вас маршрут 0.0.0.0/0 lte1

то да

в lte1 интерфейс будет отправлен arp запрос на получение mac адреса хоста 77.88.8.8

А в данном случае что-то поменяется?

это рекурсия?

Да

проблем не должно быть

Хм, к сожалению в моем случае пингуется с lte1 только 8.8.4.4 ну и 192.168.10.1

какую проблему вы решаете?

Это даже не проблема, эксперимент скорее. Выше я описал что хочу сделать

Два разных vpn с разных интерфейсов

Но с рекурсивной маршрутизацией

одинаковые VPN?

Нет

вообще ipip тунель и l2tp

без именовыных таблиц маршрутизаций не получится

Понятно что смысла от этого целом немного, просто интересно

Выше я написал пример ip route export

Отдельно трафик маркируется в мангл

невижу маркированных дефолтных двух маршрутов в разных табилцах

вот теперь вижу

показывайте правила мориковки

энио мориковка

а там два лте ?

два ether

lte и ether . add action=mark-routing chain=output dst-address=1.1.1.1 dst-port=1701 log=yes log-prefix=l2tp new-routing-mark=isp2 passthrough=yes protocol=udp

1.1.1.1 - это адрес который на скриншоте заканчивается на 234

lte и ether . add action=mark-routing chain=output dst-address=1.1.1.1 dst-port=1701 log=yes log-prefix=l2tp new-routing-mark=isp2 passthrough=yes protocol=udp

1.1.1.1 это адрес сервера l2tp?

я смотрю какая-то таблица рекурсивного запроса с маркировкой ?

1.1.1.1 это адрес сервера l2tp?

Да

я смотрю какая-то таблица рекурсивного запроса с маркировкой ?

Рекурсия не маркируется

в правиле счётчик растёт?

Да, конечно.

значит мне показалось

Да, конечно.

тогда зачем passthrough=yes ?

значит мне показалось

Нет, я не про то подумал.

тогда зачем passthrough=yes ?

Passthrough же отвечает за дальнейшее прохождение по mangle? У меня больше правил с output - нет

ERROR: S client not available

тогда зачем passthrough=yes ?

а у него есть еще правила:, которые перемаркируют ?

ок

тогда сделайте в фильтре такоеже правило и актион=лог смотрите какой интерфейс выходы выберается

Больше правил нет

ааа фастрек

ок

и мангл

это нормально ?

нет

и я так думаю

нет

Больше правил нет

показывайте фильтр

firewall filters

о идите вот к Кирилу на учебу ) Павел

0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 chain=input action=accept connection-state=established,related log=no log-prefix="" 2 chain=input action=drop connection-state=invalid log=no log-prefix="" 3 chain=input action=accept protocol=icmp log-prefix="" 4 chain=input action=accept protocol=udp in-interface=ether2 port=1701 log=no log-prefix="" 5 chain=input action=accept protocol=tcp in-interface=ether2 port=1723 log=no log-prefix="" 6 chain=input action=accept protocol=ipsec-esp in-interface=ether2 log=no log-prefix="" 7 chain=input action=drop in-interface=ether2 log=no log-prefix="" 8 chain=forward action=accept ipsec-policy=in,ipsec 9 chain=forward action=accept ipsec-policy=out,ipsec 10 chain=forward action=fasttrack-connection connection-state=established,related,untracked log=no log-prefix="" 11 chain=forward action=accept connection-state=established,related,untracked 12 chain=forward action=drop connection-state=invalid log=no log-prefix=""

да

точно идите

пойду пивка возьму ) до конца рабочего дня еще далеко, а скоротать надо

Да я собираюсь все. Просто интересно стало.

0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 chain=input action=accept connection-state=established,related log=no log-prefix="" 2 chain=input action=drop connection-state=invalid log=no log-prefix="" 3 chain=input action=accept protocol=icmp log-prefix="" 4 chain=input action=accept protocol=udp in-interface=ether2 port=1701 log=no log-prefix="" 5 chain=input action=accept protocol=tcp in-interface=ether2 port=1723 log=no log-prefix="" 6 chain=input action=accept protocol=ipsec-esp in-interface=ether2 log=no log-prefix="" 7 chain=input action=drop in-interface=ether2 log=no log-prefix="" 8 chain=forward action=accept ipsec-policy=in,ipsec 9 chain=forward action=accept ipsec-policy=out,ipsec 10 chain=forward action=fasttrack-connection connection-state=established,related,untracked log=no log-prefix="" 11 chain=forward action=accept connection-state=established,related,untracked 12 chain=forward action=drop connection-state=invalid log=no log-prefix=""

создайте правило в фильтре такоеже как и в мангле и сделайте action=log

а у него rel ast в фастрек летят ) как мне кажется

создайте правило в фильтре такоеже как и в мангле и сделайте action=log

Счетчики растут, но адрес ether2

Но про это выше сказали что все по диаграмме

Счетчики растут, но адрес ether2

адрес или интерфейс?

адрес и интерфейс

а теперь отключите это правило и сделайте в мангле в цепочке postrouting

тоже самое правило

и смотриет какой интерфейс

и смотриет какой интерфейс

интерфейс ether2

т.е. что-то не так с маршрутом?