Trueno Опубликовано 23 сентября, 2018 · Жалоба Добрый вечер, коллеги! Столкнулся с такой ситуацией. Вышестоящий провайдер выдаёт интернет посредством gre-tunnel. К серверу (микротику) подключается 5 отдельных локальных подсетей. Раньше на этом туннеле был один ай-пи, допустим 111.111.111.111 В ip - firewall было создано одно правило НАТ, применен scr-nat, в настройках было указано to-address 111.111.111.111 Всё работало. Было принято решение чуть разгрузить это всё и добавлен ещё один внешний ай-пи, отличающийся на 1 цифру допустим 111.111.111.112. К слову, оба этих ай-пи прописаны прямо на интерфейс туннеля (в ip - addresses). Для того, чтобы две из пяти локальных сети выходили в мир по 111.111.111.111, а три другие по 111.111.111.112, я принял решение создать отдельно 5 правил scr-nat. Вот кусок конфига: /ip firewall nat add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.0.0/24 src-address-list=Abonent to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.1.0/24 src-address-list=Abonent to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.2.0/24 src-address-list=Abonent to-addresses=111.111.111.112 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.3.0/24 src-address-list=Abonent to-addresses=111.111.111.112 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.4.0/24 src-address-list=Abonent to-addresses=111.111.111.112 Вроде всё работает, но то ли мне кажется, то ли сайты иногда подвисают. Посему вопросы: 1. Правильно ли я разрулил 2 внешних ай-пи на 5 локальных сетей? 2. Что это такое !192.168.0.0/16. Я понимаю, что это исключение адресного пространства локалки из НАТа, но с какой целью? Надо ли так делать? 3. Если на туннеле прописаны оба внешника 111.111.111.111 и 111.111.111.112, то если я буду пинговать некий сайт прямо с микротика, с какого из этих двух адресов будут идти запросы на сайт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 25 сентября, 2018 · Жалоба Если кажется, что есть проблема с открытием веб-сайтов через туннель, попробуйте явно уменьшать tcp-mss хотя бы до 1400, и сравнить результаты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 26 сентября, 2018 (изменено) · Жалоба 22 часа назад, nkusnetsov сказал: Если кажется, что есть проблема с открытием веб-сайтов через туннель, попробуйте явно уменьшать tcp-mss хотя бы до 1400, и сравнить результаты. Благодарю за ответ. Уже начал мысли в этом направлении. Уменьшил на тунеле просто MTU, до 1400, по классике. Вроде стало работать чуть лучше. А может это всё моя фантазия. Наблюдаю. А где именно меняется tcp-mss? Настройки тунеля щас такие: Если MTU по-умолчанию оставить, то 1472 выбирает. Изменено 26 сентября, 2018 пользователем Trueno Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
