а куда он уходит?

Так это туннель внутри IPSEC туннеля, или я что-то не понимаю

я тоже не совсем понял при чем тут gre

Пингую с локалки адрес 192.168.9.1 (туннельный адрес микротика)
Вижу на Linux в дампе на внешнем интерфейсе  UDP-encap: пакеты, а на туннельном пусто

так ipsec и есть завернутый в удп. так и должно быть на внешнем интерфейсе

Почему они на туннельный не попадают?

туннельный это виртуальная сущность может быть из-за особенностей обработки стека.  нужно очень глубоко знать в каком месте ловит снифер пакеты и как они в ядре перемещаются, чтобы ответить почему их нет на туннельном

с самого микрота дальний конец туннеля пингуется?

Да

а  с локалки нет?

Все верно

ну у меня только идея про маршруты в линухе, но вы говорите, что они есть, поэтому идей пока больше нету

а, стоп, а нат на микроте как прописан

;;; Masqurade to ISP
     chain=srcnat action=masquerade src-address-list=LAN out-interface=ether1 log=no log-prefix="" ipsec-policy=out,none

ну тогда больше идей у меня нет

Всем привет
БОЛЬШОЙ ВОПРОС К ВАМ:
Есть опыт у кого с приемом на микротик multicast как приемник и раздача на другие микротики по вланам и до абонентов? Это возможно вообще если небольшой провайдер на микротиках по шлюзам и абоненты по вланам раскиданы, а магистральные стоят d-link dgs1210?
Пакет multicast поставил на всех шлюзовых микротиках, по igmp proxy делать? А дальше как поток принимать и посылать куда либо?

Отвечайте плиз ответом на этот сабж ну или в личку.

=

У вас есть два варианта IGMP Proxy или Protocol Independent Multicast - Sparse Mode, какой выбирете вы, зависит от вашей топологии. Информация по настройке обоих есть в wiki.

благодарю за наводку!

На стенде у меня с PIM не было проблем, в этой или другой группе был кейс у человека, PIM over GRE между сайтами, ему с видео камер нужно было видео передавать по запросу, каких-то фатальных багов я не обнаружил.