а решение простое как молоток

так в чем тогда решение проблемы я непонял?

на микротике в сервиспорт строку sip всегда выключаю, и проблем не замечаю

UDP Port Timeoue: Increase UDP timeout to 120 seconds SIP uses UDP (as opposed to TCP) and our keep alive messages arrive every 25 seconds. A very short UDP port timeout will cause phones to be unable to receive inbound calls because the port we are sending the call to will have timed out. Setting the UDP port timeout to anything between 45 and 120 seconds will alleviate that issue.

проблема именно с двойным натом

и сервис порт выключать не надо, все работает

Коллеги, продолжая тему неработающего DHCP на гипервизорах. Внезапно обнаружил, что один маленький но гордый DHCP, который практически не используется, тем не менее успешно раздаёт адреса гипервизорам. Это зело заинтересовало. Пробежка по настройкам показала идентичные настройки самиих DHCP, единственным отличием оказалось наличие параметра arp:proxy-arp на бриджах, dhcp которых никак не могут раздать адресов. На работающем dhcp на бридже просто arp:enabled. Могут ли ноги расти отсюда? Можно конечно и проверить, но тестить что-то на главном роутере боевой сети в разгар дня — смерти подобно.

А кто-нибудь пускал инет через гре в микротик?

Были ли проблемы?

Коллеги, продолжая тему неработающего DHCP на гипервизорах. Внезапно обнаружил, что один маленький но гордый DHCP, который практически не используется, тем не менее успешно раздаёт адреса гипервизорам. Это зело заинтересовало. Пробежка по настройкам показала идентичные настройки самиих DHCP, единственным отличием оказалось наличие параметра arp:proxy-arp на бриджах, dhcp которых никак не могут раздать адресов. На работающем dhcp на бридже просто arp:enabled. Могут ли ноги расти отсюда? Можно конечно и проверить, но тестить что-то на главном роутере боевой сети в разгар дня — смерти подобно.

Arp-proxy может мешать работе DHCP =)

А кто-нибудь пускал инет через гре в микротик?

я пускал и было норм

Были ли проблемы?

только в размере пакетов - ибо фрагментация и тыды

А кто-нибудь пускал инет через гре в микротик?

там только не помню микротики между собой пинговались или нет

только в размере пакетов - ибо фрагментация и тыды

Это понятно

Arp-proxy может мешать работе DHCP =)

Тааак

Это понятно

в остальном всё отлично работает

Ща посмотрю

Спосиб

там только не помню микротики между собой пинговались или нет

Пингуются, затык только с википедией)))

Ну не может она занимать 1500 байт

Arp-proxy может мешать работе DHCP =)

а подружить их реально?

может лучше релей поднять?

покажи конфиг бриджа

пока контекста мало

0 R name="Bridge 0" mtu=auto actual-mtu=1500 l2mtu=1584 arp=enabled arp-timeout=auto mac-address=**:**:**:**:**:** protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m 1 R name="Bridge 10" mtu=auto actual-mtu=1500 l2mtu=1584 arp=proxy-arp arp-timeout=auto mac-address=**:**:**:**:**:** protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

лучше через /export

порты тоже нужны

а экспорт умеет по выхлопу команды не светить пароли? :)

/export compact жы

давно уже не светит

Надо как-то почитать про него, а то я его никогда не использую, и нне знаю тонкостей.

/export compact жы

это не то

Без паролей /export hide-sensitive

Без паролей /export hide-sensitive

О, спасиб. А то я тоже редко пользуюсь)

Без паролей /export hide-sensitive

о. оно. спасибо.

Но там не все пароли скрываются. Например, SNMP community остатёся вроде

порты тоже нужны

/interface bridge port add bridge="Bridge 10" interface=17 add bridge="Bridge 10" interface=18 add bridge="Bridge 10" interface=19 add bridge="Bridge 10" interface=20 add bridge="Bridge 10" interface=21 add bridge="Bridge 10" interface=22 add bridge="Bridge 10" interface="VLAN 110" add bridge="Bridge 10" interface=24 add bridge="Bridge 10" interface=23 add bridge="Bridge 0" interface=09 add bridge="Bridge 0" interface=10 add bridge="Bridge 0" interface=11 add bridge="Bridge 0" interface=12 add bridge="Bridge 0" interface=13 add bridge="Bridge 0" interface=14 add bridge="Bridge 0" interface=15 add bridge="Bridge 0" interface=16 add bridge="Bridge 0" interface="VLAN 100"

/interface bridge port add bridge="Bridge 10" interface=17 add bridge="Bridge 10" interface=18 add bridge="Bridge 10" interface=19 add bridge="Bridge 10" interface=20 add bridge="Bridge 10" interface=21 add bridge="Bridge 10" interface=22 add bridge="Bridge 10" interface="VLAN 110" add bridge="Bridge 10" interface=24 add bridge="Bridge 10" interface=23 add bridge="Bridge 0" interface=09 add bridge="Bridge 0" interface=10 add bridge="Bridge 0" interface=11 add bridge="Bridge 0" interface=12 add bridge="Bridge 0" interface=13 add bridge="Bridge 0" interface=14 add bridge="Bridge 0" interface=15 add bridge="Bridge 0" interface=16 add bridge="Bridge 0" interface="VLAN 100"

т.е. везде чистая физика нет никаких туннелей? в том плане чем обусловлен выбор прокси арп?

add add interface=eoip-tunnel1 недовыделилось

add add interface=eoip-tunnel1 недовыделилось

такс, тогда лучше на интерфейсе поменять режим на прокси, если он всё такие нужен (пока не ясно зачем), а на бридже воткнуть enabled

а чем тут еоип отличается от физики? нафига ему прокси?

еоип же гоняет Л2, тоесть ему прокси-арп не нужен

ну вообще чисто архитектурно прокси арп нужен совсем в крайних ситуациях, и в этой тоже сомнителен

еоип же гоняет Л2, тоесть ему прокси-арп не нужен

не спорь с администраторами микротика, тынепонимаешь

Может оказаться, что это вообще «пережиток прошлого». Часть вещей на микротике настраивалось ещё по интернет-туторам, когда никто не знал достоверно что есть что. Плюс текущая конфигурация пережила две миграции на более хорошее железо. С hex lite до CRS125 24G-1S-RM.

убирай арп прокси, ставь энайбл. Учитывая что на соседнем всё работает

Вероятность того что у тебя исользуется этот функционал - очень сомнительна

http://wiki.mikrotik.com/wiki/Manual:IP/ARP

Учитывая важность точки, на которой он стоит, сейчас он работает по принципу «работает — не трогай». А учитывая, что на него ещё и все туннели на пользовательские устройства / филиалы компании завязаны…

Учитывая важность точки, на которой он стоит, сейчас он работает по принципу «работает — не трогай». А учитывая, что на него ещё и все туннели на пользовательские устройства / филиалы компании завязаны…

посмотри как и зачем работает прокси арп

Учитывая важность точки, на которой он стоит, сейчас он работает по принципу «работает — не трогай». А учитывая, что на него ещё и все туннели на пользовательские устройства / филиалы компании завязаны…

тоесть таки тунели там завязаны?

или под тунеяли понимаются EOIP?

l2tp ipsec

мобильные устройства l2tp, филиалы ipsec.

ну как бы не нужен там прокси, если с адресацией сетей порядок и нет того, что ты отдаёшь мобильным клиентам IP локальной сети (за какм-то чёртом)

ну и один отдельный порт выделен по которому просто гуляет мимо ovpn трафик.

мобильные клиенты работают с 1С через rdp внутри vpn.

мобильные клиенты работают с 1С через rdp внутри vpn.

маршрутизация есть? или у всех огромная дофига сеть?

проще говоря у ВПН-клиентов адреса из подсети офисной локалки или отдельная подсеть?

нет, своей подсети пока нет, но неторопливо рассматривается.

ну как бы вот он корень зла

и сделанно это потому что используете PPTP и не хотите чтобы пользователи гоняли через вас трафик

а значит нет галки в клиенте "Пускать весь трафик через сервер"

и единственным способом быстро настроить сервер 1С для них без головняка с route add это юзать общую сеть

мда

ERROR: S client not available

а значит нет галки в клиенте "Пускать весь трафик через сервер"

ты сам понял что сказал? ?

о_О

да что бы эту галочку найти надо ТАКИЕ квесты пройти

юзер который нашел эту галочку сам спокойно себе роуты пропишет ?

ну они наверняка подключение по инструкции делают или готовое преднастроенное берут

а если серьезно то один хрен без этой галочки пахать не будет. так как адрес 1с сервака не равен адресу ВПН-сервака, а маршрут то выдается с /32 маской один черт

а она вообще там есть? мы это настраивали, чтобы в устройствах можно было подключиться используя вшитый vpn не доставляя сторонних приложений.

так что думаю всё банальней - хреновый мануал.

будет, прокси арп же отработает

так что думаю всё банальней - хреновый мануал.

возможно

ибо один хрен для 1С Л3 хватает, ей общего бродкаста не надо. так что всё же думаю что банально мануал левый был

меня больше интригует, почему на версии 37.3 ещё всё работало, а на 38 отвалилось к чертям.

щас проверю

дай 10 минут

и единственным способом быстро настроить сервер 1С для них без головняка с route add это юзать общую сеть

route add всё равно используется, так как микрот не является шлюзом для домена, в котором эти сервера лежат. и без роута они как без ног.

маскарадить надо было вывод в локалку из ВПН ?

ну типа простое решение - это выставить порт для RDP у сервера 1С на роутере через NAT (не всегда так можно сделать) и никаких маршрутов не нужно

а типа кошерное решение для среды MS - это использовать публикацию RDP и шлюз доступа.

так, Прокси-арп. локал-прокси-арп отработал ДХЦП-сервак

брал renew на клиенте и адрес получало

так, Прокси-арп. локал-прокси-арп отработал ДХЦП-сервак

таблицу арп предварительно почисти

на серваке 6,38,1, на клиенте 6,38

таблицу арп предварительно почисти

ща

ща

думаю в кейсе выше проблема с получаемым масштабом сети. Типа прокси арп - он рассылает широковещательные запросы дальше чем нужно и DHCP не хорошо из-за этого

брал renew на клиенте и адрес получало

строго гипервизор?

не, апаратные

проверить на ESXi?

С аппаратными проблем нет никаких.

И не было никогда. Проблема строго исключительно с виртуальными средами.

щас окажеться что промискуитет не включен на гипервизоре ?

А это ещё что за хрен? о_О

еееее