Trueno Posted September 23, 2018 Posted September 23, 2018 Добрый вечер, коллеги! Столкнулся с такой ситуацией. Вышестоящий провайдер выдаёт интернет посредством gre-tunnel. К серверу (микротику) подключается 5 отдельных локальных подсетей. Раньше на этом туннеле был один ай-пи, допустим 111.111.111.111 В ip - firewall было создано одно правило НАТ, применен scr-nat, в настройках было указано to-address 111.111.111.111 Всё работало. Было принято решение чуть разгрузить это всё и добавлен ещё один внешний ай-пи, отличающийся на 1 цифру допустим 111.111.111.112. К слову, оба этих ай-пи прописаны прямо на интерфейс туннеля (в ip - addresses). Для того, чтобы две из пяти локальных сети выходили в мир по 111.111.111.111, а три другие по 111.111.111.112, я принял решение создать отдельно 5 правил scr-nat. Вот кусок конфига: /ip firewall nat add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.0.0/24 src-address-list=Abonent to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.1.0/24 src-address-list=Abonent to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.2.0/24 src-address-list=Abonent to-addresses=111.111.111.112 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.3.0/24 src-address-list=Abonent to-addresses=111.111.111.112 add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.4.0/24 src-address-list=Abonent to-addresses=111.111.111.112 Вроде всё работает, но то ли мне кажется, то ли сайты иногда подвисают. Посему вопросы: 1. Правильно ли я разрулил 2 внешних ай-пи на 5 локальных сетей? 2. Что это такое !192.168.0.0/16. Я понимаю, что это исключение адресного пространства локалки из НАТа, но с какой целью? Надо ли так делать? 3. Если на туннеле прописаны оба внешника 111.111.111.111 и 111.111.111.112, то если я буду пинговать некий сайт прямо с микротика, с какого из этих двух адресов будут идти запросы на сайт? Вставить ник Quote
nkusnetsov Posted September 25, 2018 Posted September 25, 2018 Если кажется, что есть проблема с открытием веб-сайтов через туннель, попробуйте явно уменьшать tcp-mss хотя бы до 1400, и сравнить результаты. Вставить ник Quote
Trueno Posted September 26, 2018 Author Posted September 26, 2018 (edited) 22 часа назад, nkusnetsov сказал: Если кажется, что есть проблема с открытием веб-сайтов через туннель, попробуйте явно уменьшать tcp-mss хотя бы до 1400, и сравнить результаты. Благодарю за ответ. Уже начал мысли в этом направлении. Уменьшил на тунеле просто MTU, до 1400, по классике. Вроде стало работать чуть лучше. А может это всё моя фантазия. Наблюдаю. А где именно меняется tcp-mss? Настройки тунеля щас такие: Если MTU по-умолчанию оставить, то 1472 выбирает. Edited September 26, 2018 by Trueno Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.