а с этим не подскажите ?  как совместно работают Authoritive 10s delay и delay-treshold 40s у dhcp сервера в микроте

CRS328-24P-4S+
все порты в одном бридже, на бридже адрес 10.0.0.2
к первому порту(ether1) подключен другой коммутатор, к которому подключен PC с wireshark c адресом 10.0.0.3 и еще мой PC с адресом 10.0.0.4
ко второму порту подключен(ether2) UPS с ip адресом 10.0.0.5
все устройства "видят" друг друга, пинги идут.
На CRS328-24P-4S+ на 2ом порту включаю "Packet Sniffer" с отправкой на wireshark.
Запускаю ping со своего PC(10.0.0.4) на UPS(10.0.0.5)
Почему я wireshark вижу отправку пакетов с CRS328-24P-4S+(10.0.0.2) на wireshark(10.0.0.3), но не вижу запущенный ping? Torch тоже молчит.
Если в бридже на ether2 отключить Hardware Offload, то весь трафик виден и в torch и на wireshark. Почему, если заменить CRS328-24P-4S+ на hAP ac^2, то трафик виден и при включенном Hardware Offload?

Одно через 10 секунд делает сервер авторитативным, а второе через 40 секунд выдаст адрес на запрос.

Потому, что шарк видит только то, что идет через ЦПУ. При оффлоаде трафик идет внутри свитччипа.

Это понятно. Вопросы были не совсем об этом

Всем привет!

Народ, помогите трафик в туннель ipsec пустить

на микроте на eth1 подан канал инет и /28 сетка реальных ip
к eth2 подключен сервак и прописана сетка 192.168.36.0/24
на микроте симметричный нат, тобишь реальному ip соответствует серый. То есть с серого ip все выходит в инет с реальным ip

сейчас на микроте нужно поднять ipsec до партнера, чтобы мой сервер работал с его полиси

туннель поднялся но траф ф нем не ходит, пинга нет

видимо где-то нужно в нат что-то доделывать

на той стороне cisco asa

Как два сервера согласуют кто из них авторитативный? У меня задача отказоустойчивый dhcp, на одном я выставил authoritive yes на другом 10s и поставил трешолд делай, этого достаточно?

Потому, что включение сниффера отключает оффлоад на ac2

Да.

Наоборот - НАТ не нужен. нужны правильные полиси, в которые попадет нужный трафик.

В полиси он прописан. Нужен и нат для обычного трафика и туннель именно до этого партнера

add action=dst-nat chain=dstnat dst-address=x.x.x.61 in-interface=ether1 protocol=tcp to-addresses=192.168.36.11
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.36.11 to-addresses=x.x.x.61
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1

это нат
вот мне нужно, что-бы 192.168.36.11 был доступен через ipsec соседу

/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-192
add dh-group=modp1024 enc-algorithm=aes-192 name=MM
/ip ipsec peer
add address=y.y.y.210/32 local-address=x.x.x.50 name=MM1 profile=MM
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-192-cbc,aes-192-ctr,aes-192-gcm pfs-group=none
/ip ipsec identity
add peer=MM1 secret="rrrrrrrrrrrrrrrrrrrrrrr"
/ip ipsec policy
set 0 disabled=yes
add dst-address=s.s.s.248/32 dst-port=12000 peer=MM1 sa-dst-address=y.y.y.210 sa-src-address=x.x.x.50 src-address=192.168.36.11/32 tunnel=yes

Полиси не корректна.Она должна обрабатывать трафик "серых" сетей.

блин, через wine захлопывается winbox когда policy открываю. Никто не сталкивался?

а что именно может быть не корректно? По шифрованию?

src и dst адреса. И проброс порта на сервер для айписека не нужен.

точно все правильно!