Тогда хз)

Господа. А что означает in и out в ipsec-policy в файрволле?

Впадлу фул меш делать

проще каждому роутеру свою AS сделать)

или на OSPF остаться

Хз) сам решай) я завтра часть своей сети буду эмулировать на bgp)

Основная задача, что бы между лупбэками можно было строить тоннели. Пиши, если все заработает)

Так все заработает 100%)))

На 6.38 оно парралелится

Есть пруф? В ченчлоге ничего не увидел.

Есть пруф? В ченчлоге ничего не увидел.

Вот и мне интересно

Есть кто живой?

Вопрос по packet flow есть...

(с ipsec)

Вопрос по packet flow есть...

Слушаю

Слушаю

А уже решился вроде бы. Вопрос был о том, как избежать двойного применения политик IPsec, когда выход в интернет через PPP (модем), и адрес remote peer попадает в подсеть внутри VPN'а.

Т. е. локальная подсеть 10.167.15.0/24, политика ipsec выглядит как 10.167.15.0/24 -> 10.0.0.0/8 (там куча подсетей внутри 10, я не хотел прописывать их все), а на модеме local и remote peer тоже из 10.0.0.0/8.

По идее, всё должно работать, т. к. после прохода через ipsec src-address пакета уже не лежит в 10.167.15.0/24, но почему-то не работало. А сейчас так же внезапно заработало.

Т. е. локальная подсеть 10.167.15.0/24, политика ipsec выглядит как 10.167.15.0/24 -> 10.0.0.0/8 (там куча подсетей внутри 10, я не хотел прописывать их все), а на модеме local и remote peer тоже из 10.0.0.0/8.

Ну... Я не сторонник таких крупных политик. Лучше несколько маленьких нарисовать

Просто не хочется перечислять все подсети в каждом роутере (там топология "звезда").

Я пытался пропушить список подсетей из центра через mode config, но не получилось.

Слушаю

А подскажите ещё вот что. Каково значение in и out в ipsec-policy файрволла? Как заматчить _все_ пакеты, которые подходят под политики ipsec (т. е. или будут зашифрованы, или были расшифрованы)?

Например, я хочу исключить из маскарадинга пакеты, которые должны уйти в IPsec VPN. Достаточно ли написать в SNAT-правиле ipsec-policy=out,none?

Щас проверю

Или если я хочу сделать так, чтобы FastTrack не мешал работе IPsec (в вики написано, что пакеты, помеченные для FastTrack, проходят мимо IPsec) — как лучше всего написать правила? Поставить перед fasttrack два accept'а для ipsec-policy=in,ipsec и ipsec-policy=out,ipsec?

Или если я хочу сделать так, чтобы FastTrack не мешал работе IPsec (в вики написано, что пакеты, помеченные для FastTrack, проходят мимо IPsec) — как лучше всего написать правила? Поставить перед fasttrack два accept'а для ipsec-policy=in,ipsec и ipsec-policy=out,ipsec?

Я бы поставил два аксепта с адрес-листами. Самый простой вариант. И в НАТе использовал бы те же самые адрес-листы

Матчер по ipsec какой-то странный

Я бы поставил два аксепта с адрес-листами. Самый простой вариант. И в НАТе использовал бы те же самые адрес-листы

Понятно. :) У меня так сейчас и сделано, просто я пытаюсь уменьшить дублирование информации в конфигах.

Адрес-листы почти не нагружают цпу. Их использование весьма оптимально во многих случаях

Понятно. :) У меня так сейчас и сделано, просто я пытаюсь уменьшить дублирование информации в конфигах.

Хотя вот это правило у меня матчит пакеты: add action=passthrough chain=output ipsec-policy=out,ipsec log=yes log-prefix=IPSEC

в ip firewall filter

Да, у меня тоже. Вопрос в том, нужно ли писать два accept-правила в обе стороны, чтобы ни один пакет не дошёл до fasttrack'а?

Т. е. верно ли я понимаю, что если написать акцепт только для ipsec-policy=out,ipsec, то когда придёт ответ, он не заматчится этим правилом, дойдёт до fasttrack'а, пометит соединение и следующий пакет в соединении уже пойдёт через fasttrack в обход ipsec'а хрен пойми куда?

Т. е. верно ли я понимаю, что если написать акцепт только для ipsec-policy=out,ipsec, то когда придёт ответ, он не заматчится этим правилом, дойдёт до fasttrack'а, пометит соединение и следующий пакет в соединении уже пойдёт через fasttrack в обход ipsec'а хрен пойми куда?

Fasttrack работает в форварде. В форварде ipsec не матчится

Прекрасно матчится.

Этим матчером, по-крайней мере

18:09:06 firewall,info ipsec-out forward: in:bridge out:3g, src-mac 00:24:d6:4d:47:e8, proto UDP, 10.167.15.244:62781->10.159.230.2:5353, NAT 10.167.15.244:62781->(10.167.15.1:53->10.159.230.2:5353), len 61 18:09:06 firewall,info ipsec-in forward: in:3g out:bridge, proto UDP, 10.159.230.2:5353->10.167.15.244:62781, NAT (10.159.230.2:5353->10.167.15.1:53)->10.167.15.244:62781, len 61

Сайт-ту-сайт не пробовал ещё

А, ну у меня именно так.

В нате точно можно только аут матчить

В нате точно можно только аут матчить

Понял

А вот в фв...

это вот хз. Попробуйте сначала в одну сторону добавить, проверить. Не взлетит — добавить ещё одно правило

Попробую, спасибо.

Попробую, спасибо.

Проверил бы сам, но на chr-е фасттрэк не работает (по-крайней мере, я не добился

С другой стороны, у меня почему-то в fasttrack уходит около 1% трафика.

Видимо, его можно просто нафиг убрать.

Хотя по счётчику пакетов — почти половина.

Видимо, там какие-то дополнительные условия, при которых он срабатывает.

На какой железяке ковыряете?

BaseBox 2, доступ в Интернет — через 3G-модем.

т. е. RB912

А зачем на 3г скоростях фасттрэк? На бордере — я бы ещё понял

http://wiki.mikrotik.com/index.php?title=Manual:IP/Fasttrack&redirect=no#Supported_hardware Да, на CHR фасттрэка нет

от фасттрка какой профит на бордере?

А зачем на 3г скоростях фасттрэк? На бордере — я бы ещё понял

Сам не знаю. :)

Просто интересно.

от фасттрка какой профит на бордере?

Смотря какие скорости. Если у Вас бордер без ната, чистая маршрутизация — то никакого, ибо вероятнее всего у Вас включен fastpath. Если же он у вас выключен — то фасттрэк здорово снизит нагрузку на цпу

Советую нагуглить презенташку Fastpath Overview, там доступно изложено, как это работает

Смотря какие скорости. Если у Вас бордер без ната, чистая маршрутизация — то никакого, ибо вероятнее всего у Вас включен fastpath. Если же он у вас выключен — то фасттрэк здорово снизит нагрузку на цпу

fastpath отключен

x86

на нагрузку проца пофиг, в принципе

А, ну на х86 фасттрека не будет

Ссылка выше

Советую нагуглить презенташку Fastpath Overview, там доступно изложено, как это работает

Видимо, фрагментация

А, вот! Ещё вопрос: в современном мире нужно как-то явно бороться с фрагментацией пакетов? Или софт сам определяет максимальные размеры всего по дороге?

ERROR: S client not available

Особенно учитывая 3G у меня

(а не ethernet)

Лучше бороться, ящитаю. Ибо это нехреновая дополнительная нагрузка на железо.

Можно сделать правила, уменьшающие MSS в tcp syn пакетах

Можно сделать правила, уменьшающие MSS в tcp syn пакетах

Для out-interface=3g? А как рассчитать нужный MSS?

Для out-interface=3g? А как рассчитать нужный MSS?

Какой МТУ на интерфейсе? Обычно для MSS достаточно вычесть из MTU 40байт

Ну, оно пишет "1500".

Ему можно верить?

В разных гайдах про 3G на микротике советуют (MSS) то 1300, то 1360, то ещё сколько-то.

Бери меньше - не ошибешься ;)

Кто-нибудь использует bonding active backup?

и вопрос на засыпку, rstp на микроте нормально пашет?

и вопрос на засыпку, rstp на микроте нормально пашет?

В 38 версии поменяли формат, об этом написано в changelog

это вот хз. Попробуйте сначала в одну сторону добавить, проверить. Не взлетит — добавить ещё одно правило

Да, нужны оба правила. Одно матчит только пакеты, которые летят в направлении политики, другое — в обратном направлении. (late follow-up)

В 38 версии поменяли формат, об этом написано в changelog

Видел, спасибо

что то у меня active backup не отрабатывает

линк роняю и все

с ARP проверкой все взлетело

юзал кто CRS106-1C-5S?

с ARP проверкой все взлетело

привет, а попробуй несколько раз затестить. У меня подобная проблема была с lacp, где-то в 70% случаев не поднимался интерфейс, помогало вручную выкл/вкл, что с MII, что с ARP, одно и тоже, в итоге забил)

юзал кто CRS106-1C-5S?

Юзать – не юзал. А что конкретно интересует?

Слишком свежая моделька

привет, а попробуй несколько раз затестить. У меня подобная проблема была с lacp, где-то в 70% случаев не поднимался интерфейс, помогало вручную выкл/вкл, что с MII, что с ARP, одно и тоже, в итоге забил)

Пощелкал, восстанавливается нормально

MII вообще не работает, даже с RR bonding не хотел работать

Юзать – не юзал. А что конкретно интересует?

там такой же кастрированный swos как и на 260?)

Нет, там роутерос

Полноценный

MII вообще не работает, даже с RR bonding не хотел работать

круть. Может у меня так потому что с циской плохо дружит)

круть. Может у меня так потому что с циской плохо дружит)

хз, lacp не использовал)

Нет, там роутерос

точно, спс

пойдет на мелкую агрегацию)