Спам ботам глубоко наплевать на ваши icmp. Единственное решение - сегментировать сеть. Это снизит количество arp-запросов на абонентов. В идеале контролировать сессии до экстрима и не пускать трафик до не авторизованных абонентов.
Для экстрима это не большая нагрузка - он ее переживет. Можете снизить Max ARP pending entries, но тогда могут пострадать и активные абоненты.
возможно у вас трафик стал маршрутизироваться на lsp-next-hop тем самым к пакету добавляется l2+ заголовок (mpls-метка). В сетях с mpls или qinq туннелированием включение jumbo обязательно. т.е. на физическом интерфейсе ставить максимально возможный на парке оборудования, а на l3 интерфейсах во общем не обязательно менять - они работают уже над l2/l2+ заголовками. на cisco кажется есть mtu и ip mtu для случаев когда ip поднимается на голом физическом интерфейсе
это вообще работает на mikrotik? у меня пока получается только сделать роутинг, только если внутри openvpn сделать ipip-туннель и через него гонять. в Openvpn пинг есть и маршруты прописаны, но mikrotik упорно не кладет туда пакеты.
в firewall сделал ACCEPT на forward input output. в nat только одно правило на src-nat на WAN порт. mangle пуст. версия последняя стабильная 6.43.4, аппарат hAP.
сейчас что-то и ipip туннель сломался. пинги в нем не идут. ингода свзяность лечилась ребутом mirkotik. хост система где ovpn linux. диагностирую по tcpdump.
нравится мышкой кликать, но сейчас меня mikrotik бесит!..
https://owncloud.dmvy.ru/index.php/s/JmC55Gc2qQv0my6
pass: nag-forum
OS6850_644743R01.zip
могу попробовать запросить, нужен серийник. но могут послать, раз мы такое не покупали
можно делать это и на ветке 16.х.х, но в ней сделали переработку ACL с внедрением virtual slices, что позволяет быстрее производить операции модификации ACL, но нужно читать и впитывать мануал, как и именно работают ACL.
если есть статус LIR, то бесплатно еще /32 выпишет. не нужно экономить!!! пусть горят в аду, кто балансирует трафик префиксами, а не community и те, кто пилит ipv6 и анонсирует отдельные блоки, которые должны агрегированным префиксом улетать.