[Saab95]

У EoIP туннеля есть src.address, как вариант посмотрите в этом направлении на предмет поиска проблем.

[WY6EPT]

On 2/24/2019 at 6:03 PM, Saab95 said:

У EoIP туннеля есть src.address, как вариант посмотрите в этом направлении на предмет поиска проблем.

Спасибо, буду посмотреть.

В сухом остатке, сделали пастру л2тп в дфл и заново настроили микрот с сбросом к заводским настройкам. есть вероятность, что мог повлиять апдейт на живом конфиге.

работает.

 

Всем спасибо за оказанную поддержку =)

[Tracert]

Очень похожая история приключилась, ARP то бегает то нет, схема такая

 

Виланы -> mikrotik 1036 bridge -> EoIP -> mikrotik 1036 bridge -> виланы ...

 

В одну сторону арпы отлично бегают, в другую иногда несколько раз в сутки ходить перестают. За прошлые сутки 6 раз переставали по 20 мин, примерно. Используем схему для транзита L2 поверх L3, MTU 1500 пропускает.

 

Очень похоже просто на глюк. Любые изменения в тоннеле, как правила, приводят к тому, что арпы сразу бегать начинают.

 

 

[jffulcrum]

Очень похоже, что протекает L2, что в случае с 1036, у которого свитч-чип отсутствует как класс, вполне возможно. Используйте split-horizon на EOIP туннелях, чтобы они не прокручивали в обратную сторону от себя же полученные пакеты.

[Tracert]

Спасибо выставил разные горизонты на двух концах тоннеля, через пару дней попробую убрать статический arp для проверки. Подобная схема работает и в связке 1036-CCR2004 проблем не замечал.

 

А как выглядит "подтекание"? Каким-то образом широковещательный трафик закольцовывается и 1036 начинает его блокировать на вход-выход? Может он при это ничего не писать в логи? Или тут какой-то другой механизм?

 

Почему-то нигде в Инете, не встречал что к обычному бриджу можно добавить EoIP порт, и таким образом 2 бриджа на разных микротах соединить. При включении на свитчах ingress filter, лишнего трафика не передается, потом просто назначаешь vlan на SFP tagged и EoIP tagged, и все данные бегут поверх L3.  Схема простая и понятная саппорту.

 

Но в инете в примерах создают по несколько бриджей не понимаю зачем оно, и надо ли. 

 

[jffulcrum]

2 часа назад, Tracert сказал:

Почему-то нигде в Инете, не встречал что к обычному бриджу можно добавить EoIP порт, и таким образом 2 бриджа на разных микротах соединить. При включении на свитчах ingress filter, лишнего трафика не передается, потом просто назначаешь vlan на SFP tagged и EoIP tagged, и все данные бегут поверх L3.  Схема простая и понятная саппорту.

 

Что так даёт сделать не означает, что так правильно делать. Для начала, будут проблемы с MTU, т.к. EOIP туннель имеет меньший MTU, и это непрозрачно для клиентов, и повлияет на трафик других участников моста. Это решаемо через firewall mangle, но добавит работы CPU роутера.

 

3 часа назад, Tracert сказал:

 

А как выглядит "подтекание"? Каким-то образом широковещательный трафик закольцовывается и 1036 начинает его блокировать на вход-выход?

Выглядит по-всякому, но проявляется чаще всего просто: пакет оказывается в порту, где не должен. Бывает при большом pps. Даже VLAN, бывает, могут протечь между собой, особенности архитектуры - нет " железных" разделителей.

[Tracert]

В vlan с L3 MTU 1576, пролетают в итоге пакеты клиентские 1500 нормально. А вот насчет остального удивительно, конечно. Настораживает. 

 

Как я понял нет с Mikrotik правильных решений и неправильных, достаточно подумать как бы это могло выглядеть под linux, и оттуда плясать. Разобраться же в мануалах и примерах микрота, порой бывает очень сложно. 

[Tracert]

Разобрался я с ARP в одну сторону, дело в том, что на одной стороне в настройках физического порта в бридже (bridge -> ports-> sfp1), не стояла галочка broadcast flood. Те бродкасты просто не ходили в одну сторону, в том числе и ARP.