C
у мене странный вопрос: если sxt запитать от af, оно отдать во второй порт af не сможет ведь?
Неа. И не все sxt поддерживают at/af
Size: a a a
2020 April 27
I
https://mikrotik.com/product/sxt_lte6_kit вроде на вход могет
AT
у мене странный вопрос: если sxt запитать от af, оно отдать во второй порт af не сможет ведь?
Пассив отдаст.
I
на вход af, на выход пассив?
C
на вход af, на выход пассив?
Yes
AT
на вход af, на выход пассив?
Да. Но высоковольтный пассив
I
змчтлн, пасиба
C
Помогите пожалуйста разобраться с MTU/MSS. Использую систему мониторинга DUDE, ни в какую не грузятся картинки через туннель. С одной стороны ццр1009 с другой 4011через PPPOE между ними ipsec ikev2 site2site. Писал уже об этой проблеме в чатах, все дружно говорят - смотри в сторону MTU, даже саппорт микротика пишет про МТУ. Но я что-то не догоняю, как исправить MTU, ведь интерфейса у ipsec нет. Change MSS в мангле в форварде зажимал вплоть до 1200, эффекта нет. Тестирую скорость с помощью iperf3 насквозь, если TCP то скорость в районе 30 мегабит, а если выставить флаг -u (use UDP rather than TCP) тогда скорость в районе 1 Мегабита. Тестирую MTU между двумя хостами получается The largest possible non-fragmented packet is 1378 (1406 - 28 ICMP & IP headers).
You can set your MTU to 1406. Результаты тестирования прилагаю: https://pastebin.com/YSis2gGu
You can set your MTU to 1406. Результаты тестирования прилагаю: https://pastebin.com/YSis2gGu
Мангл по src/dst. В две стороны (два правила) либо одно но через листы куда две сетки ваши добавить.
N
Cumberbatch
Мангл по src/dst. В две стороны (два правила) либо одно но через листы куда две сетки ваши добавить.
так и есть, add action=change-mss chain=forward dst-address-list=remote_ipsec_nets ipsec-policy=out,ipsec new-mss=1440 passthrough=yes protocol=tcp src-address-list=local_nets tcp-flags=syn tcp-mss=\
!0-1440
add action=change-mss chain=forward dst-address-list=local_nets ipsec-policy=in,ipsec new-mss=1440 passthrough=yes protocol=tcp src-address-list=remote_ipsec_nets tcp-flags=syn tcp-mss=\
!0-1440
!0-1440
add action=change-mss chain=forward dst-address-list=local_nets ipsec-policy=in,ipsec new-mss=1440 passthrough=yes protocol=tcp src-address-list=remote_ipsec_nets tcp-flags=syn tcp-mss=\
!0-1440
C
так и есть, add action=change-mss chain=forward dst-address-list=remote_ipsec_nets ipsec-policy=out,ipsec new-mss=1440 passthrough=yes protocol=tcp src-address-list=local_nets tcp-flags=syn tcp-mss=\
!0-1440
add action=change-mss chain=forward dst-address-list=local_nets ipsec-policy=in,ipsec new-mss=1440 passthrough=yes protocol=tcp src-address-list=remote_ipsec_nets tcp-flags=syn tcp-mss=\
!0-1440
!0-1440
add action=change-mss chain=forward dst-address-list=local_nets ipsec-policy=in,ipsec new-mss=1440 passthrough=yes protocol=tcp src-address-list=remote_ipsec_nets tcp-flags=syn tcp-mss=\
!0-1440
Это мало. Вам снижать нужно до 1360 примерно
C
И зачем вы добавляете IPSec-policy?
N
Cumberbatch
Это мало. Вам снижать нужно до 1360 примерно
пробовал, и 1360 и ниже вплоть до 1200 и с и без ipsec-policy. Картинки в дуде не грузятся.
N
Если тестировать через btest.exe получается странная ассиметрия - в одну сторону 81 мегабит, в другую 2,2 мегабита.
A
Коля, подключай домру, там есть вариант без рррое, как ты хотел
A
если сбросить дефолтные настройки файервола микротика, настроить роутер и раздача внутри локалки не через DHCP, а через рррое сервер организована, то почему некоторые маки клиентов пролетают через nat с отключенным прокси на самом микротике?
A
самое интересное, что залетает пару маков, а не все маки, которые за nat
A
бриджей, прокси нет на микротике
A
это новая фишка торентов?)
R
Хватит флудить! Andrey потерял голос на 10 минут!
C
Andrey
если сбросить дефолтные настройки файервола микротика, настроить роутер и раздача внутри локалки не через DHCP, а через рррое сервер организована, то почему некоторые маки клиентов пролетают через nat с отключенным прокси на самом микротике?
А можно как-то ещё переформулировать?