Kamik Опубликовано 14 сентября, 2016 (изменено) · Жалоба Между двумя микротиками тунель l2tp, поверх eoip Как только добавляю туннель в локальный бридж, то некоторые сайты не открываются или открываются частично. Некоторые вполне нормально работают. Например, amazon.com частично, http://ip-lookup.net/ - вообще не открывается, таймаут. даже если отключить туннели l2tp и eoip на клиенте, проблема на сервере остается. На клиенте проблема такая же. Стоит только отключить eoip тунель в бридже, все сразу нормализуется. Как локализовать проблему? конфиг срвера # sep/14/2016 21:25:26 by RouterOS 6.36.3 # software id = MLKT-C9C4 # /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway /interface eoip add !keepalive mac-address=00:00:5E:80:00:0D name=Slava-eoip-tunnel \ remote-address=10.1.100.7 tunnel-id=7 /ip neighbor discovery set ether1-gateway discover=no set ether3 discover=no set ether4 discover=no set ether5 discover=no set ether6 discover=no set ether7 discover=no set ether8 discover=no set ether9 discover=no set ether10 discover=no set ether11 discover=no set ether12 discover=no /ip pool add name=dhcp ranges=172.16.0.151-172.16.0.254 /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=udp \ mac-protocol=ip /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=Slava-eoip-tunnel /interface l2tp-server server set authentication=mschap2 enabled=yes /ip address add address=172.16.0.1/16 interface=ether2 network=172.16.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1-gateway \ use-peer-dns=no use-peer-ntp=no /ip dhcp-server config set store-leases-disk=1d /ip dhcp-server network add address=172.16.0.0/16 dns-server=172.16.0.100,172.16.0.110 gateway=\ 172.16.0.1 netmask=16 /ip dns set servers=8.8.8.8,8.8.4.4,4.2.2.2 /ip firewall address-list add address=172.16.0.0/16 list=safe /ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\ udp add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\ tcp add action=drop chain=input comment="drop invalid connections" \ connection-state=invalid add action=accept chain=input comment="allow related connections" \ connection-state=related add action=accept chain=input comment="allow established connections" \ connection-state=established add action=accept chain=input comment="Allow ICMP Ping" protocol=icmp add action=accept chain=input comment="Allow WinBox safe hosts" \ connection-state=new dst-port=8291 protocol=tcp src-address-list=safe add action=accept chain=input comment="Allow L2TP Tunnels" dst-port=1701 \ protocol=udp src-address-list="my gateways" add action=accept chain=input in-interface=!ether1-gateway add action=drop chain=input comment="drop everything else" /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway add action=dst-nat chain=dstnat disabled=yes dst-port=5900 protocol=tcp \ to-addresses=172.16.0.250 to-ports=5900 /ip service set telnet disabled=yes set ftp disabled=yes set ssh address=172.16.0.0/16 set api disabled=yes set api-ssl disabled=yes /ppp secret add local-address=10.1.10.7 name=slava password=xxxxxxx remote-address=\ 10.1.100.7 service=l2tp клиент /interface bridge add name=bridge2 /interface l2tp-client add connect-to=XXXXXXX disabled=no mrru=1600 name=l2tp-out1 password=\ XXXXXXXXX user=slava /interface eoip add !keepalive mac-address=00:00:5E:80:00:0E name=eoip-tunnel1 \ remote-address=10.1.10.7 tunnel-id=7 /ip pool add name=dhcp ranges=172.16.11.3-172.16.11.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1 /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \ mac-protocol=ip /interface bridge port add bridge=bridge2 interface=ether2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 add bridge=bridge2 interface=ether5 add bridge=bridge2 interface=wlan1 add bridge=bridge2 interface=wlan2 add bridge=bridge2 disabled=yes interface=ether1 add bridge=bridge2 interface=eoip-tunnel1 /ip address add address=172.16.11.1/16 interface=ether2 network=172.16.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 Изменено 14 сентября, 2016 пользователем Kamik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 14 сентября, 2016 · Жалоба MTU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 15 сентября, 2016 (изменено) · Жалоба Kamik, а зачем вы собираете через EoIP разные L3-подсети? Роутинг вас не спасает? "Зачем же так убиваться, вы же так не убьётесь" (с) не мой. У вас бридж вообще без адреса? Занятно. Изменено 15 сентября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 15 сентября, 2016 · Жалоба MTU? пробовал 1300 ставить, не помогло. Пинги то проходят, а вот полностью сайт не подгружает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 15 сентября, 2016 (изменено) · Жалоба Kamik, а зачем вы собираете через EoIP разные L3-подсети? Роутинг вас не спасает? почему разные? все находятся в 172.16.0.0/16 У вас бридж вообще без адреса? Занятно. без какого адреса? если имеется ввиду мак, то он становится таким же как и у eoip туннеля, после добавления его в бридж. Изменено 15 сентября, 2016 пользователем Kamik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 15 сентября, 2016 · Жалоба без какого адреса? Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2. P.S>Если не секрет - вам зачем этот геморрой с общим l2? На виндах без АД обозревателем пользоваться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 16 сентября, 2016 (изменено) · Жалоба P.S>Если не секрет - вам зачем этот геморрой с общим l2? На виндах без АД обозревателем пользоваться? в сети будет два AD, RDS и общие каталоги.Не, ну в принципе можно и через роутинг, но думал, если есть фича, почему бы не использовать. Толщины канала хватает в принципе для броадкаста. Ну а каких тогда случаях eoip необходим? Изменено 16 сентября, 2016 пользователем Kamik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 16 сентября, 2016 · Жалоба без какого адреса? Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2. /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.0.1/16 172.16.0.0 bridge1 ну так тоже, собственно, проблема остается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 16 сентября, 2016 · Жалоба не очень понятно что это на клиенте: ... /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 ... и непонятно каким образом получает адрес ether1 на клиенте. До кучи, у вас два dhcp-сервера на одной l2 подсети, клиентский на первый взгляд настроен неправильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 16 сентября, 2016 (изменено) · Жалоба не очень понятно что это на клиенте: ... /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 ... и непонятно каким образом получает адрес ether1 на клиенте. До кучи, у вас два dhcp-сервера на одной l2 подсети, клиентский на первый взгляд настроен неправильно. ну, да, я тут просто клиента тестового подцепил, чтобы не ломать на рабочем рутере. должно быть add address=172.16.0.0/16 gateway=172.16.11.1 ether1 - за натом, получает ИП через DHCP Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 192.168.1.66/24 DHCP запросы между сетями блокируются фильтром в бридже. /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \ mac-protocol=ip если клиента вообще отключить, то есть туннели не активны на головном, то проблема все равно существует. то есть клиент вообще не играет роли. Изменено 16 сентября, 2016 пользователем Kamik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 16 сентября, 2016 · Жалоба вот простейшая кофигурация, после сброса рутера точно такая же проблема. Может профи покажут рабочую конфу с eoip over l2tp? # jan/02/1970 00:20:56 by RouterOS 6.34.3 # software id = 8PMD-3ELB # /interface bridge add name=bridge1 /interface eoip add !keepalive mac-address=02:AD:69:37:F2:63 name=eoip-tunnel1 \ remote-address=10.1.10.55 tunnel-id=0 /ip pool add name=dhcp ranges=192.168.0.2-192.168.0.200 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=ether13 add bridge=bridge1 interface=eoip-tunnel1 /interface l2tp-server server set enabled=yes /ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 use-peer-dns=\ no /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ppp secret add local-address=10.1.100.55 name=ppp1 remote-address=10.1.10.55 service=\ l2tp /system routerboard settings set protected-routerboot=disabled Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 сентября, 2016 · Жалоба Может профи покажут рабочую конфу с eoip over l2tp? Это для вас сделает вендор. С чего вы взяли, что eoip - это ppp-протокол и secret для него рисуете? И кстати, /interface bridge filter ... dst-port=67 ip-protocol=tcp ... Почему tcp, если фильтруете dhcp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 16 сентября, 2016 (изменено) · Жалоба Это для вас сделает вендор. так надо было закрыть форум и повесить объявление, чтобы все шли к вендору С чего вы взяли, что eoip - это ppp-протокол и secret для него рисуете? вообще-то это для l2tp И кстати, Почему tcp, если фильтруете dhcp? как я выше написал - независимо от того, есть клиент или нету, сути проблемы не меняет. тем более, что в конфиге рабочего рутера стоит udp.просто попробуйте сделать eoip over l2tp и открыть http://ip-lookup.net/. Изменено 16 сентября, 2016 пользователем Kamik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 17 сентября, 2016 · Жалоба Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 17 сентября, 2016 · Жалоба Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему. Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 17 сентября, 2016 · Жалоба Kamik, доброго времени суток. Как уже выше написали коллеги по цеху, ситуация с частичной недоступностью ресурсов (сайтов), обычно вызвана «низким» MTU тоннелей (VPN сетей). Что бы избежать подобной ситуации, можно попробовать один из вариантов: 1. Принудительно увеличить MTU на обоих интерфейсах тоннеля (VPN сети) до 1500. Возможны «подводные камни» данного способа: 1.1. Невозможность применения такой величины MTU (1500), на данном типе интерфейса. 1.2. Высокая загрузка маршрутизатора и как следствия падение скорости в тоннеле (VPN сети). 2. Выявление максимально допустимого значения MTU пропускаемого через тоннель (VPN сеть), с последующим указанием значения MSS (Maximum segment size) для TCP пакетов. Если брать значение MSS «грубо», то оно должно быть на 40 «попугаев» меньше значения MTU «проходящего» через тоннель (VPN сеть). Т.е. «MTU тоннеля – 40 = MSS». 3. Использовать вместо L2TP другой тип тоннеля (VPN сети), например OpenVPN. Данный способ имеет «подводные камни» аналогичные пункту 1.2. К сожалению (или к счастью), с Mikrotik я не работаю и не смогу подсказать точную настройку, на данном оборудовании. Вариант с уменьшением MSS по отношению к MTU в тоннеле, помогал мне разрешить описанную Вами проблему, на разнородном оборудовании. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 17 сентября, 2016 · Жалоба Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему. Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему. Kamik, Извините, не заметил Ваше сообщение об успешном решении проблемы (страница была не обновлена). Рад, что получилось! Возможно, кому то мой пост может пригодиться. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kamik Опубликовано 17 сентября, 2016 · Жалоба SUrov_IBM, огромное спасибо за развернутый ответ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semarbn Опубликовано 11 ноября, 2018 · Жалоба В 17.09.2016 в 19:55, Kamik сказал: Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему. Спасибо большое! Тоже была такая проблема. Щас в eoip есть ipsec и я делал без l2tp тунеля. Пока читал, увидел посты умных людей, которые критикуют и посылают читать маны вместо совета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...