Kamik Posted September 14, 2016 (edited) Между двумя микротиками тунель l2tp, поверх eoip Как только добавляю туннель в локальный бридж, то некоторые сайты не открываются или открываются частично. Некоторые вполне нормально работают. Например, amazon.com частично, http://ip-lookup.net/ - вообще не открывается, таймаут. даже если отключить туннели l2tp и eoip на клиенте, проблема на сервере остается. На клиенте проблема такая же. Стоит только отключить eoip тунель в бридже, все сразу нормализуется. Как локализовать проблему? конфиг срвера # sep/14/2016 21:25:26 by RouterOS 6.36.3 # software id = MLKT-C9C4 # /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway /interface eoip add !keepalive mac-address=00:00:5E:80:00:0D name=Slava-eoip-tunnel \ remote-address=10.1.100.7 tunnel-id=7 /ip neighbor discovery set ether1-gateway discover=no set ether3 discover=no set ether4 discover=no set ether5 discover=no set ether6 discover=no set ether7 discover=no set ether8 discover=no set ether9 discover=no set ether10 discover=no set ether11 discover=no set ether12 discover=no /ip pool add name=dhcp ranges=172.16.0.151-172.16.0.254 /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=udp \ mac-protocol=ip /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=Slava-eoip-tunnel /interface l2tp-server server set authentication=mschap2 enabled=yes /ip address add address=172.16.0.1/16 interface=ether2 network=172.16.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1-gateway \ use-peer-dns=no use-peer-ntp=no /ip dhcp-server config set store-leases-disk=1d /ip dhcp-server network add address=172.16.0.0/16 dns-server=172.16.0.100,172.16.0.110 gateway=\ 172.16.0.1 netmask=16 /ip dns set servers=8.8.8.8,8.8.4.4,4.2.2.2 /ip firewall address-list add address=172.16.0.0/16 list=safe /ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\ udp add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\ tcp add action=drop chain=input comment="drop invalid connections" \ connection-state=invalid add action=accept chain=input comment="allow related connections" \ connection-state=related add action=accept chain=input comment="allow established connections" \ connection-state=established add action=accept chain=input comment="Allow ICMP Ping" protocol=icmp add action=accept chain=input comment="Allow WinBox safe hosts" \ connection-state=new dst-port=8291 protocol=tcp src-address-list=safe add action=accept chain=input comment="Allow L2TP Tunnels" dst-port=1701 \ protocol=udp src-address-list="my gateways" add action=accept chain=input in-interface=!ether1-gateway add action=drop chain=input comment="drop everything else" /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway add action=dst-nat chain=dstnat disabled=yes dst-port=5900 protocol=tcp \ to-addresses=172.16.0.250 to-ports=5900 /ip service set telnet disabled=yes set ftp disabled=yes set ssh address=172.16.0.0/16 set api disabled=yes set api-ssl disabled=yes /ppp secret add local-address=10.1.10.7 name=slava password=xxxxxxx remote-address=\ 10.1.100.7 service=l2tp клиент /interface bridge add name=bridge2 /interface l2tp-client add connect-to=XXXXXXX disabled=no mrru=1600 name=l2tp-out1 password=\ XXXXXXXXX user=slava /interface eoip add !keepalive mac-address=00:00:5E:80:00:0E name=eoip-tunnel1 \ remote-address=10.1.10.7 tunnel-id=7 /ip pool add name=dhcp ranges=172.16.11.3-172.16.11.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1 /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \ mac-protocol=ip /interface bridge port add bridge=bridge2 interface=ether2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 add bridge=bridge2 interface=ether5 add bridge=bridge2 interface=wlan1 add bridge=bridge2 interface=wlan2 add bridge=bridge2 disabled=yes interface=ether1 add bridge=bridge2 interface=eoip-tunnel1 /ip address add address=172.16.11.1/16 interface=ether2 network=172.16.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 Edited September 14, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted September 14, 2016 MTU? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 15, 2016 (edited) Kamik, а зачем вы собираете через EoIP разные L3-подсети? Роутинг вас не спасает? "Зачем же так убиваться, вы же так не убьётесь" (с) не мой. У вас бридж вообще без адреса? Занятно. Edited September 15, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 15, 2016 MTU? пробовал 1300 ставить, не помогло. Пинги то проходят, а вот полностью сайт не подгружает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 15, 2016 (edited) Kamik, а зачем вы собираете через EoIP разные L3-подсети? Роутинг вас не спасает? почему разные? все находятся в 172.16.0.0/16 У вас бридж вообще без адреса? Занятно. без какого адреса? если имеется ввиду мак, то он становится таким же как и у eoip туннеля, после добавления его в бридж. Edited September 15, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 15, 2016 без какого адреса? Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2. P.S>Если не секрет - вам зачем этот геморрой с общим l2? На виндах без АД обозревателем пользоваться? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 16, 2016 (edited) P.S>Если не секрет - вам зачем этот геморрой с общим l2? На виндах без АД обозревателем пользоваться? в сети будет два AD, RDS и общие каталоги.Не, ну в принципе можно и через роутинг, но думал, если есть фича, почему бы не использовать. Толщины канала хватает в принципе для броадкаста. Ну а каких тогда случаях eoip необходим? Edited September 16, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 16, 2016 без какого адреса? Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2. /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.0.1/16 172.16.0.0 bridge1 ну так тоже, собственно, проблема остается Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted September 16, 2016 не очень понятно что это на клиенте: ... /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 ... и непонятно каким образом получает адрес ether1 на клиенте. До кучи, у вас два dhcp-сервера на одной l2 подсети, клиентский на первый взгляд настроен неправильно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 16, 2016 (edited) не очень понятно что это на клиенте: ... /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 ... и непонятно каким образом получает адрес ether1 на клиенте. До кучи, у вас два dhcp-сервера на одной l2 подсети, клиентский на первый взгляд настроен неправильно. ну, да, я тут просто клиента тестового подцепил, чтобы не ломать на рабочем рутере. должно быть add address=172.16.0.0/16 gateway=172.16.11.1 ether1 - за натом, получает ИП через DHCP Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 192.168.1.66/24 DHCP запросы между сетями блокируются фильтром в бридже. /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \ mac-protocol=ip если клиента вообще отключить, то есть туннели не активны на головном, то проблема все равно существует. то есть клиент вообще не играет роли. Edited September 16, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 16, 2016 вот простейшая кофигурация, после сброса рутера точно такая же проблема. Может профи покажут рабочую конфу с eoip over l2tp? # jan/02/1970 00:20:56 by RouterOS 6.34.3 # software id = 8PMD-3ELB # /interface bridge add name=bridge1 /interface eoip add !keepalive mac-address=02:AD:69:37:F2:63 name=eoip-tunnel1 \ remote-address=10.1.10.55 tunnel-id=0 /ip pool add name=dhcp ranges=192.168.0.2-192.168.0.200 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=ether13 add bridge=bridge1 interface=eoip-tunnel1 /interface l2tp-server server set enabled=yes /ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 use-peer-dns=\ no /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ppp secret add local-address=10.1.100.55 name=ppp1 remote-address=10.1.10.55 service=\ l2tp /system routerboard settings set protected-routerboot=disabled Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 16, 2016 Может профи покажут рабочую конфу с eoip over l2tp? Это для вас сделает вендор. С чего вы взяли, что eoip - это ppp-протокол и secret для него рисуете? И кстати, /interface bridge filter ... dst-port=67 ip-protocol=tcp ... Почему tcp, если фильтруете dhcp? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 16, 2016 (edited) Это для вас сделает вендор. так надо было закрыть форум и повесить объявление, чтобы все шли к вендору С чего вы взяли, что eoip - это ppp-протокол и secret для него рисуете? вообще-то это для l2tp И кстати, Почему tcp, если фильтруете dhcp? как я выше написал - независимо от того, есть клиент или нету, сути проблемы не меняет. тем более, что в конфиге рабочего рутера стоит udp.просто попробуйте сделать eoip over l2tp и открыть http://ip-lookup.net/. Edited September 16, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 17, 2016 Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 17, 2016 Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему. Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted September 17, 2016 Kamik, доброго времени суток. Как уже выше написали коллеги по цеху, ситуация с частичной недоступностью ресурсов (сайтов), обычно вызвана «низким» MTU тоннелей (VPN сетей). Что бы избежать подобной ситуации, можно попробовать один из вариантов: 1. Принудительно увеличить MTU на обоих интерфейсах тоннеля (VPN сети) до 1500. Возможны «подводные камни» данного способа: 1.1. Невозможность применения такой величины MTU (1500), на данном типе интерфейса. 1.2. Высокая загрузка маршрутизатора и как следствия падение скорости в тоннеле (VPN сети). 2. Выявление максимально допустимого значения MTU пропускаемого через тоннель (VPN сеть), с последующим указанием значения MSS (Maximum segment size) для TCP пакетов. Если брать значение MSS «грубо», то оно должно быть на 40 «попугаев» меньше значения MTU «проходящего» через тоннель (VPN сеть). Т.е. «MTU тоннеля – 40 = MSS». 3. Использовать вместо L2TP другой тип тоннеля (VPN сети), например OpenVPN. Данный способ имеет «подводные камни» аналогичные пункту 1.2. К сожалению (или к счастью), с Mikrotik я не работаю и не смогу подсказать точную настройку, на данном оборудовании. Вариант с уменьшением MSS по отношению к MTU в тоннеле, помогал мне разрешить описанную Вами проблему, на разнородном оборудовании. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted September 17, 2016 Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему. Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему. Kamik, Извините, не заметил Ваше сообщение об успешном решении проблемы (страница была не обновлена). Рад, что получилось! Возможно, кому то мой пост может пригодиться. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted September 17, 2016 SUrov_IBM, огромное спасибо за развернутый ответ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
semarbn Posted November 11, 2018 В 17.09.2016 в 19:55, Kamik сказал: Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему. Спасибо большое! Тоже была такая проблема. Щас в eoip есть ipsec и я делал без l2tp тунеля. Пока читал, увидел посты умных людей, которые критикуют и посылают читать маны вместо совета. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
