в документации не сказано а на странице загрузок её найти нельзя

Туннельный или транспортный не важно, важно то, как происходит IPSec policy match.

В классическом случае, на основе правил в Security Policy Database в ядре, после выполнения процесса маршрутизации. Когда пакет проходит xfrm policy lookup hook в ядре.

В route-based на основе выходного интерфейса полученного в результате RIB routing lookup, соответственно у этого интерфейса есть ссылка на policy rule в SPD в ядре.

В RouterOS реализован только policy-based IPSec, несмотря на наличие в ядре Linux в фреймворка XFRM поддержки, как VTI, так и XFRM интерфейсов, реализующих route-based IPSec

ну допустим, но чем не устраивает текущая реализация микротика? В ваш дизайн не вписывается?

Тем, что требует наличия туннельных протоколов, IPIP, GRE для реализации динамической маршрутизации.

Затрудняет создание Site-to-Site конфигураций с вендорами, которые объявили Policy-based IPSec устаревшим в своих продуктах.

а в ros7 есть route-based, не смотрели?

Его там тоже нет к сожалению, что странно, в ядре Linux он давно есть, в StrongSWAN поддержка со стороны userspace тоже давно есть.

В RouterOS упорно воздерживаются от реализации. 🧐

ищу, как сделать влан маппинг (трансляция вланов), но не могу найти

такое можно сделать, используя влан фильтеринг?

на девайсах с умным чипом вроде

crs2xx crs3xx

вот спасибо. смотрел вики про использование влан фильтеринг , но в упор этого видел 👍

хотя... действительно, это для свичей

ну если делать на роутере - то классически

сбриджевать два влана да и все

Из рубрики "Вредные советы".

исходим из ТЗ

говорят, так делать плохо и нужно делать через влан фильтеринг

если свитч чип это не поддерживает, то суть будет одна и та же

нагрузка на cpu тоже