Jump to content

Vlan и MTU на порту

Только что столкнулся с непонятной мне ситуацией. Буду признателен если мне кто-нибудь разжует и ткнет пальцем где я был не прав.

 

Предыстория. Есть RB760Gs. настройка дефолтная.

MTU на бридже и портах - 1500

К ether2 подключен свитч(тупой), к которому подключен  Comp1

K ether3 подключен Comp2 напрямую.

Все работает.

 

Итак, решил я повесить на ether2 пару вланов. Повесил. Получилось вот так

/interface vlan
add interface=ether2 name=vlan-3 vlan-id=3
add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10

Больше никаких настроек не далал. Только эти две строчки.

 

А теперь то что мне непонятно - перестал доходить траффик от Comp1. Даже стандартный ping. Причем этот комп нормально получает настройки DHCP и Winbox запущенный на нем видит микротик, но подключиться не может ни по IP ни по MAC.

Лечилось мгновенно, увеличением MTU на ether2 до 1504, ЛИБО отключением виланов.

 

По логике вещей, при MTU 1500  в влане, пакеты должны дропаться именно в вланах, но почему-то дропается нетегированный траффик на физическом порту. Что происходит внутри влана не проверял, т.к. в них траффика пока нет никакого, никуда не подключены. 

 

Кто-нибудь знает что происходит?

Edited by Leninxxx

Share this post


Link to post
Share on other sites

конфиг

Скрытый текст

/interface ethernet
set [ find default-name=sfp1 ] disabled=yes
/interface bridge
add mtu=1500 name=bridge
add name=bridge-5-vlan
/interface eoip
add allow-fast-path=no mac-address=FE:F9:46:30:D5:2E mtu=1456 name=eoip \
    remote-address=X.X.X.X tunnel-id=2408
/interface vlan
add interface=ether2 name=vlan-3 vlan-id=3
add interface=eoip name=vlan-5-tonnel vlan-id=5
add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=10.24.8.100-10.24.8.150
add name=pool-guest ranges=192.168.0.10-192.168.0.50
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge disabled=yes interface=sfp1
add bridge=bridge interface=vlan-3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 disabled=yes interface=vlan-10 network=\
    192.168.0.0
add address=10.24.8.240/24 interface=bridge network=10.24.8.0
add address=10.24.255.14 interface=eoip network=10.24.255.13
add address=X.X.X.X/30 interface=ether1 network=X.X.X.X
/ip dhcp-server lease
/ip dhcp-server network
add address=10.24.8.0/24 dns-server=10.24.8.240,8.8.8.8 domain=domain.local \
    gateway=10.24.8.240 ntp-server=88.212.196.95,193.109.84.119,194.190.168.1
add address=192.168.0.0/24 dns-server=8.8.8.8 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=10.24.1.250,8.8.8.8
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward dst-address=10.24.0.0/16 src-address=\
    192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
    10.24.0.0/16
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept GRE" protocol=gre \
    src-address=X.X.X.X
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all coming from WAN" \
    in-interface-list=WAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=X.X.X.X
add distance=1 dst-address=10.24.1.0/24 gateway=10.24.255.13
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Yekaterinburg
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 

 

20 часов назад, Saab95 сказал:

L2MTU не трогали наверно?

Нет, не трогал. А зачем, если интересует нетегированный трафик, а в вланах пусто.

Edited by Leninxxx

Share this post


Link to post
Share on other sites

33 минуты назад, Leninxxx сказал:

Нет, не трогал.

А это что?

 

33 минуты назад, Leninxxx сказал:

/interface bridge
add mtu=1500 name=bridge

У вас вообще криво сделано. Если вы все порты объединили в bridge, то VLAN надо на Bridge и вешать, и роутер тогда нормально откорректирует MTU сам. Ну или осиливать bridge vlan filtering

Share this post


Link to post
Share on other sites

4 минуты назад, jffulcrum сказал:

А это что?

Это вроде бы MTU. Стоит стандартное значение. Можно и убрать - погоды не сделает. Но если его увеличить до 1504 - все взлетает и работает без проблем.

Собственно L2MTU, о котором Вы спрашивали - не трогал.

 

8 минут назад, jffulcrum сказал:

У вас вообще криво сделано. Если вы все порты объединили в bridge, то VLAN надо на Bridge и вешать, и роутер тогда нормально откорректирует MTU сам. Ну или осиливать bridge vlan filtering

На прямоту рук не претендую. Да и это не рабочая конфа, а скорее, тестовая, то что первое пришло в голову.
Изначально идея состояла в том чтобы получить по eoip влан, и отправить его нетегированым на физический порт, а тегированый траффик с этого порта отправить нетегированым на бридж. Сам eoip бриджевать не хотелось бы.

Share this post


Link to post
Share on other sites

Ну на том же бридже есть фильтры. Добавляете EoIP в бридж (если внутри или на нем нет влана), в фильтрах бриджа настраиваете, что исходящий трафик из EoIP может идти только в нужный порт. А входящий трафик в EoIP может идти только из этого нужного порта. Тогда все другие данные могут свободно бегать в бридже и в туннель они не попадут. А тот порт, из которого должен быть доступ в туннель, получит доступ и в туннель, и в другие порты бриджа.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.