D
allow fast path же отключаем при включенном ipsec в eoip?
точнее через коннекшенмарк
Size: a a a
2020 December 30
F
точнее через коннекшенмарк
эм? можно поподробнее?
F
я имел ввиду эту галку.
просто тут рекомендуют снять, но не понял зачем:
https://mikrotik.wiki/wiki/VPN:EoIP_%D0%B8_IPsec_(%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0,_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F)
просто тут рекомендуют снять, но не понял зачем:
https://mikrotik.wiki/wiki/VPN:EoIP_%D0%B8_IPsec_(%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0,_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F)
SS
"Note: Currently only CRS3xx devices fully support hardware DHCP Snooping and Option 82. For CRS1xx and CRS2xx series switches it is possible to use DHCP Snooping along with VLAN switching, but then you must make sure that DHCP packets are sent out with the correct VLAN tag using egress ACL rules. Other devices are capable of using DHCP Snooping and Option 82 features along with hardware offloading, but you must make sure that there is no VLAN related configuration applied on the device, otherwise DHCP Snooping and Option 82 might not work properly. See Bridge Hardware Offloading section with supported features."
SS
короче, не совсем и с кучей оговорок
SS
и далеко не везде.
ГП
Sergey Stepanenko
короче, не совсем и с кучей оговорок
я вам на бридже на роутере показал
ГП
работает 100% :)
SS
ну в случае eoip - да, будет работать. там все равно софтовый бридж
D
эм? можно поподробнее?
Mangle:
21 ;;; Mark IPsec
chain=output action=mark-connection new-connection-mark=ipsec ipsec-policy=out,ipsec
22 ;;; Mark IPsec
chain=input action=mark-connection new-connection-mark=ipsec ipsec-policy=in,ipsec
Firewall:
89 chain=forward_LAN action=fasttrack-connection connection-state=established,related connection-mark=!ipsec
in-interface=!ipip-tunnel1 out-interface=!ipip-tunnel1 log=no log-prefix=""
21 ;;; Mark IPsec
chain=output action=mark-connection new-connection-mark=ipsec ipsec-policy=out,ipsec
22 ;;; Mark IPsec
chain=input action=mark-connection new-connection-mark=ipsec ipsec-policy=in,ipsec
Firewall:
89 chain=forward_LAN action=fasttrack-connection connection-state=established,related connection-mark=!ipsec
in-interface=!ipip-tunnel1 out-interface=!ipip-tunnel1 log=no log-prefix=""
F
а, это ты про фасттрак ) понял, спс.
а я имел ввиду галку fastpath в настройках eoip - у тебя она отключена?
а я имел ввиду галку fastpath в настройках eoip - у тебя она отключена?
D
а, это ты про фасттрак ) понял, спс.
а я имел ввиду галку fastpath в настройках eoip - у тебя она отключена?
а я имел ввиду галку fastpath в настройках eoip - у тебя она отключена?
да
F
во. спс.
F
Sergey Stepanenko
ребят, а зачем. чето не слышал такого. шифрование часто все равно через проц
ипсек - магия ))
SS
ипсек - магия ))
да. вот говорят "EoIP, GRE, IPIP Yes since 6.33. Interfaces have per interface setting "allow-fast-path". Interfaces have side effect of bypassing firewall, connection tracking, simple queues, queue tree with parent=global, IP accounting, IPsec, hotspot universal client, VRF assignment for encapsulated packets that go trough fastpath"
VB
У меня как раз между кв. проброшен EoIP -туннель с ipsec. Плюс фильтр на бридже:
0 ;;; Drop DHCP in remote LAN
chain=forward action=drop out-interface=eoip-tunnel1 mac-protocol=ip dst-port=67-68 ip-protocol=udp
1 ;;; Drop DHCP in remote LAN
chain=forward action=drop in-interface=eoip-tunnel1 mac-protocol=ip dst-port=67-68 ip-protocol=udp
Сделано так чтобы на удаленной кв. через PLEX нормально виделся NAS. PLEXу желательно находиться в одной сети с сервером - иначе начинает требовать оплаты для настройки удаленных IP-адресов, что ж, микротик как всегда помог в решении этой проблемы ))
0 ;;; Drop DHCP in remote LAN
chain=forward action=drop out-interface=eoip-tunnel1 mac-protocol=ip dst-port=67-68 ip-protocol=udp
1 ;;; Drop DHCP in remote LAN
chain=forward action=drop in-interface=eoip-tunnel1 mac-protocol=ip dst-port=67-68 ip-protocol=udp
Сделано так чтобы на удаленной кв. через PLEX нормально виделся NAS. PLEXу желательно находиться в одной сети с сервером - иначе начинает требовать оплаты для настройки удаленных IP-адресов, что ж, микротик как всегда помог в решении этой проблемы ))
PLEX рассылает что-то бродкастом или просто ip адрес из одной сети надо? дстнат с локального адреса на микроте в удаленный за туннелем не прокатит?
D
PLEX рассылает что-то бродкастом или просто ip адрес из одной сети надо? дстнат с локального адреса на микроте в удаленный за туннелем не прокатит?
У меня не прокатило. Пришлось именно городить виртуально-локальную )) единую сеть. Иначе падла не работал ))
SS
PLEX рассылает что-то бродкастом или просто ip адрес из одной сети надо? дстнат с локального адреса на микроте в удаленный за туннелем не прокатит?
а л2 как работать будет. мак не получит. возможно как то можно с арп прокси извратится
VB
Sergey Stepanenko
а л2 как работать будет. мак не получит. возможно как то можно с арп прокси извратится
так я и спрашиваю, что там у плекса на l2 завязано. Просто упомянули, про ip адрес в одной сети. Но если именно в адресе дело,то можно обойти по другому.