Leninxxx Опубликовано 7 ноября, 2020 (изменено) · Жалоба Только что столкнулся с непонятной мне ситуацией. Буду признателен если мне кто-нибудь разжует и ткнет пальцем где я был не прав. Предыстория. Есть RB760Gs. настройка дефолтная. MTU на бридже и портах - 1500 К ether2 подключен свитч(тупой), к которому подключен Comp1 K ether3 подключен Comp2 напрямую. Все работает. Итак, решил я повесить на ether2 пару вланов. Повесил. Получилось вот так /interface vlan add interface=ether2 name=vlan-3 vlan-id=3 add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10 Больше никаких настроек не далал. Только эти две строчки. А теперь то что мне непонятно - перестал доходить траффик от Comp1. Даже стандартный ping. Причем этот комп нормально получает настройки DHCP и Winbox запущенный на нем видит микротик, но подключиться не может ни по IP ни по MAC. Лечилось мгновенно, увеличением MTU на ether2 до 1504, ЛИБО отключением виланов. По логике вещей, при MTU 1500 в влане, пакеты должны дропаться именно в вланах, но почему-то дропается нетегированный траффик на физическом порту. Что происходит внутри влана не проверял, т.к. в них траффика пока нет никакого, никуда не подключены. Кто-нибудь знает что происходит? Изменено 7 ноября, 2020 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 7 ноября, 2020 · Жалоба Конфиг приаттачить, белые IP затерев Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 ноября, 2020 · Жалоба L2MTU не трогали наверно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 8 ноября, 2020 (изменено) · Жалоба конфиг Скрытый текст /interface ethernet set [ find default-name=sfp1 ] disabled=yes /interface bridge add mtu=1500 name=bridge add name=bridge-5-vlan /interface eoip add allow-fast-path=no mac-address=FE:F9:46:30:D5:2E mtu=1456 name=eoip \ remote-address=X.X.X.X tunnel-id=2408 /interface vlan add interface=ether2 name=vlan-3 vlan-id=3 add interface=eoip name=vlan-5-tonnel vlan-id=5 add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /ip pool add name=default-dhcp ranges=10.24.8.100-10.24.8.150 add name=pool-guest ranges=192.168.0.10-192.168.0.50 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge name=defconf /port set 0 name=serial0 /interface bridge port add bridge=bridge interface=ether2 add bridge=bridge interface=ether3 add bridge=bridge interface=ether4 add bridge=bridge interface=ether5 add bridge=bridge disabled=yes interface=sfp1 add bridge=bridge interface=vlan-3 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.0.1/24 disabled=yes interface=vlan-10 network=\ 192.168.0.0 add address=10.24.8.240/24 interface=bridge network=10.24.8.0 add address=10.24.255.14 interface=eoip network=10.24.255.13 add address=X.X.X.X/30 interface=ether1 network=X.X.X.X /ip dhcp-server lease /ip dhcp-server network add address=10.24.8.0/24 dns-server=10.24.8.240,8.8.8.8 domain=domain.local \ gateway=10.24.8.240 ntp-server=88.212.196.95,193.109.84.119,194.190.168.1 add address=192.168.0.0/24 dns-server=8.8.8.8 gateway=192.168.0.1 /ip dns set allow-remote-requests=yes servers=10.24.1.250,8.8.8.8 /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=forward dst-address=10.24.0.0/16 src-address=\ 192.168.0.0/24 add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\ 10.24.0.0/16 add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept GRE" protocol=gre \ src-address=X.X.X.X add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all coming from WAN" \ in-interface-list=WAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN /ip route add distance=1 gateway=X.X.X.X add distance=1 dst-address=10.24.1.0/24 gateway=10.24.255.13 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Asia/Yekaterinburg /system routerboard settings set auto-upgrade=yes /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN 20 часов назад, Saab95 сказал: L2MTU не трогали наверно? Нет, не трогал. А зачем, если интересует нетегированный трафик, а в вланах пусто. Изменено 8 ноября, 2020 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 8 ноября, 2020 · Жалоба 33 минуты назад, Leninxxx сказал: Нет, не трогал. А это что? 33 минуты назад, Leninxxx сказал: /interface bridge add mtu=1500 name=bridge У вас вообще криво сделано. Если вы все порты объединили в bridge, то VLAN надо на Bridge и вешать, и роутер тогда нормально откорректирует MTU сам. Ну или осиливать bridge vlan filtering Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 8 ноября, 2020 · Жалоба 4 минуты назад, jffulcrum сказал: А это что? Это вроде бы MTU. Стоит стандартное значение. Можно и убрать - погоды не сделает. Но если его увеличить до 1504 - все взлетает и работает без проблем. Собственно L2MTU, о котором Вы спрашивали - не трогал. 8 минут назад, jffulcrum сказал: У вас вообще криво сделано. Если вы все порты объединили в bridge, то VLAN надо на Bridge и вешать, и роутер тогда нормально откорректирует MTU сам. Ну или осиливать bridge vlan filtering На прямоту рук не претендую. Да и это не рабочая конфа, а скорее, тестовая, то что первое пришло в голову. Изначально идея состояла в том чтобы получить по eoip влан, и отправить его нетегированым на физический порт, а тегированый траффик с этого порта отправить нетегированым на бридж. Сам eoip бриджевать не хотелось бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 ноября, 2020 · Жалоба Ну на том же бридже есть фильтры. Добавляете EoIP в бридж (если внутри или на нем нет влана), в фильтрах бриджа настраиваете, что исходящий трафик из EoIP может идти только в нужный порт. А входящий трафик в EoIP может идти только из этого нужного порта. Тогда все другие данные могут свободно бегать в бридже и в туннель они не попадут. А тот порт, из которого должен быть доступ в туннель, получит доступ и в туннель, и в другие порты бриджа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...