прошу прощения Андрей, не имел злого умысла

Все хорошо ?

Попробуй на бридже вручную выставить мту 1500 и все проблемы исчезнет

Так а что не так то с бриджами?

Инфа 98процентов

Что не так то?

дак вот написал как есть - есть определенные бридж - брирджует допусти етн1 + еоип туннель; в файрволе есть правило маскарада, в котором ни бридж, ни один интерфейсов из бриджа явно не указан, однако из-за этого правила связности по еоиптуннелю нет

меня это вообще тотально обескураживает, поражает до глубины души, и вызывае глубокое возмущение (но чтобы вы знали, вслух я выражался несколько иначе)

Можно конфиг в пастбин

Я вот не понял. Маскарад в правиле не участвует но сработал?

Хоть бы правило

Я вот не понял. Маскарад в правиле не участвует но сработал?

счетчик не растет, но выключаешь правило - появляется связность!

включаешь правило, ждешь 30 сек и связность теряется

Можно конфиг в пастбин

Вот что нам поможет

правило add action=masquerade chain=srcnat disabled=yes src-address=10.0.0.0/8

сейчас для начала разберусь что вы называете фастбин

Просто как-то неприятно читать. Я сам очень много матом выражаюсь, но тут не место ведь. Тут друзья

+

Сергей (1) увеличил репутацию Андрей Лямкин (1)

видмо так

https://pastebin.com/fLGYbvkv

модель роутерa CCR

впрочем я неоднократно это замечал на множестве устройтсв mipsbe/le

+

+

B (2) увеличил репутацию Сергей (2)

+

+

d.salmin (0) увеличил репутацию Сергей (3)

просто проверил механизм работы, ничего личного :)

Да можно и так побсануть Сергея

Сентиментальный добрый и хороший человек ... отзывчивый

пожалуй проверю робит ли бан-хаммер )

Сентиментальный добрый и хороший человек ... отзывчивый

я еще котиков люблю )

add bridge=br03.ce interface=eth2.vlan1951

  /interface bridge settings set allow-fast-path=no use-ip-firewall=yes use-ip-firewall-for-vlan=yes

Один из интерфейсов бриджа с названием влан

Не пойму, вы маскарадите весь 10.0.0.0/8

А снизу использовать фаер для влана да

а чо за адреса на туннелях? и на локалке?....

Возможно есть ещё бриджи с вланами

Не пойму, вы маскарадите весь 10.0.0.0/8

да, весь

а чо за адреса на туннелях? и на локалке?....

ну если вкратце, там два л3-сегмента, транспорт между ними оптика и он настолько богодопен, что не может вызывать нареканий по определению

И на какой то влан фаер и сработал

но вдруг если действительно ывжно: /interface eoip add !keepalive local-address=10.0.14.60 mac-address=02:C4:88:8B:86:2B name="eoip.id=1951" remote-address=10.1.7.253 tunnel-id=1951

Один из интерфейсов бриджа с названием влан

вполне разумное предположение, т.е. если выключить файрволл для влан, то должно помочь

но тогда очереди отъедут

Ну так получается все, что уходит в туннель, маскарадится. Зачем?

почему в туннель то?

всё что имеет сорс ип из 10.0.0.0/8 маскарадится - это да

туннель то причем?

чото тут нечисто.

Да

Опять хотели сделать хорошо, потом добавить, потом ещё и потом чуть и уже когда, что -то пошло не так ... стал виноват микротих. Это мой самый любимый сценарий, всегда так делаю ...

На тестовом стенде без излишнего, настроенном с нуля ошибка повторяется ?

Разные конфиги проверялись ? С тестогового сервера снимали лог шарком ? Делался супаутфайл ? Писалось ли письмо в сапорт ?

мне не нравится, что такой широкий маскарад. Что-то он явно лишнее цепляет.

Лог включить и смотреть что туда попадает

Торч включить и смотреть куда tx rx идёт

Шарком пакеты поймать и заголовки посмотреть )

А зачем на бридже use bridge firewall и use vlan firewall ?

На тестовом стенде без излишнего, настроенном с нуля ошибка повторяется ?

вообще версия с тем что ип-файрволл зацепляет пакеты из бриджа звучит достаточно стройно, хотя лично для меня сходу не очевидно; для нулевых микротков тоже есть такие наблюдения, но там транспорт как правило несовершенен, а кроме того нулевые они были только с одной стороны (т.е. скажем так узловой микротик он не нулевый и скинуть в дефолт его категорически нельзя, но при этом микротик на клиентской стороне поднимался с нуля и проблема наблюдалась довольно часто)

А зачем модель использования нат на бридже ?

а почему бы не добавить в правило маскарада out-interface ? как положено

А зачем на бридже use bridge firewall и use vlan firewall ?

в перспективе необходимо маркировать транзитный через бридж трафик, и/или вешать очереди на бриджи, но в данный момент этот функционал не задействован

а почему бы не добавить в правило маскарада out-interface ? как положено

И я об этом с той стороны что может быть

Проще использовать динамическую маршрутизацию

Ну или mpls vpls если так нужен L2

а почему бы не добавить в правило маскарада out-interface ? как положено

опытном путем установлено, что на на обозначенную проблему это не оказывает влияния

А зачем модель использования нат на бридже ?

лично я не использую, но тоже задавался вопросом - зачем в конфигурции бриджей есть нат :)

ERROR: S client not available

Ну или mpls vpls если так нужен L2

эксперементировал на этот счет, причем как с вплс, так и с bcp - не обнаружил явных преимуществ одного над другим, но то что еоип-туннель быстрее/легче настраивается это факт

Большой оверхед

в смысле бОльший?

https://wiki.mikrotik.com/wiki/Manual%3AMaximum_Transmission_Unit_on_RouterBoards

https://forum.mikrotik.com/viewtopic.php?t=35330

занимательно

Опять хотели сделать хорошо, потом добавить, потом ещё и потом чуть и уже когда, что -то пошло не так ... стал виноват микротих. Это мой самый любимый сценарий, всегда так делаю ...

+

Игорь Маркин (-1) увеличил репутацию B (3)

занимательно

А как можно судить и выбирать протокол когда нет представления о его основе и требованиях ?

О представления о работе

Не ну все конечено работает

О, а я -1...?

О, а я -1...?

+

B (3) увеличил репутацию Игорь Маркин (0)

Теперь 0

О, а я -1...?

+

tr0jan4ik (2) увеличил репутацию Игорь Маркин (1)

дак представления есть, но поверхностные. И даже сейчас я не очень понимаю ак там с вплс полчится запихнуть 1480 байт полезной нагрузки, с учетом того что транспорт не пропускает больше чем 1500

Буш должен)

Буш должен)

+

Игорь Маркин (1) увеличил репутацию tr0jan4ik (3)

)))

дак представления есть, но поверхностные. И даже сейчас я не очень понимаю ак там с вплс полчится запихнуть 1480 байт полезной нагрузки, с учетом того что транспорт не пропускает больше чем 1500

Транспорт должен быть минимум 1508

А по хорошему 1522

Для мплс да. Это я читал

ну дак это условие не отвечает моим исходным данным - в моем случае строго 1500

а так если бы можно было так невозбранно подинмать мту на транспорте, дак с тем уже успехом можно было замотать 1542 и тогда и по еоип туннелям всё летало бы богоподобно, так ведь?

и что-то мне подсказвает что гре (и его частность - еоип) механизм менее ресурсоемкий нежели мплс/вплс

хотя в полной мере не уверен

В eoip можно совать любой размер пакета ... если он встретит препятствие на пути - фрагментируется

логично

а в вплс разве нет?