MY
Чистое решение - заблекхолить супернет
Size: a a a
2020 June 17
IO
дело в том, что если туннель упал, маршрут через ppp-линк пропадает, и траффик на эти адреса идёт через default gateway
MY
Просто 10.0.0.0/8 если можете себе это позволить
N
+ за unreacheable суперсети с distance=254
MY
Да даже дистанцию не важно, lpm сожрет
IO
Просто 10.0.0.0/8 если можете себе это позволить
могу, и сделал. Меня смущает, что в выводе
ip route pr и ip route export не отображается заданный мной gatewayN
Когда интерфейс l2tp станет down, сработает unreacheable маршрут, если другого нет.
IO
аааа, можно ж без указания шлюза просто метрику повыше
IO
default как менее специфичный будет после него
N
могу, и сделал. Меня смущает, что в выводе
ip route pr и ip route export не отображается заданный мной gatewayИ не будет. Макет на убийство предназначен. Нет для него выхода. Поле gateway не используется и по-хорошему должно стать DISABLED в интерфейсе. Но это ж микротиковски UI...
A
Эх, интересно вы живете конечно :)
И как по трафичку? 4 спайна прогружаете?
И как по трафичку? 4 спайна прогружаете?
У нас, вроде, по 2 на дц :)
Трафика относительно немного из-за специфики проектов, потому-то и спокойно живём с 1г на аксессе.
Трафика относительно немного из-за специфики проектов, потому-то и спокойно живём с 1г на аксессе.
MY
Дык а зачем вам гейтвей вообще?
Просто вот так сделайте
Просто вот так сделайте
IO
всё, всё, понял
MY
Тож блекхол маршрут агрегированный, у него не должно быть гейтвея
IO
я тупанул, вроде unreachable сделал, а впн-сервер всё равно пингуется. А сейчас понял, что до него же
/32 маршрут есть )A
подскажите такой момент:
Есть у меня несколько туннелей до адресов вида
Проблема в том, что при падении туннеля, эти адреса где-то в локалке провайдера пингуются (трейсрут явно идёт через аплинк).
Как наиболее чётко это дело порезать?
1) Фильтром фаервола?
2) Через IP-route? Тут странный момент: оно работает, но в выводе
затем смотрю хоть
При этом поведение верное: через ether1 не выпускает, а через VPN-туннель при его наличии выпускает
Есть у меня несколько туннелей до адресов вида
10.52.0.0, 10.32.0.0 и т.п.Проблема в том, что при падении туннеля, эти адреса где-то в локалке провайдера пингуются (трейсрут явно идёт через аплинк).
Как наиболее чётко это дело порезать?
1) Фильтром фаервола?
2) Через IP-route? Тут странный момент: оно работает, но в выводе
ip route pr не показывается имя интерфейса, для которого маршрут сделан unreachable. Например, делаю /ip route> add dst-address=192.168.0.0/16 gateway=ether1 type=unreachableзатем смотрю хоть
print, хоть export, и не вижу имени шлюза. При этом поведение верное: через ether1 не выпускает, а через VPN-туннель при его наличии выпускает
А зачем гейт для блэкхола указывать?
IO
затем, что я не знал, что не надо)
N
У микротика много косяков в UI винбокса. Есть еще места, где опция должна стать disabled в зависимости от соседего поля, но она остается доступной для выбора.
IO
У микротика много косяков в UI винбокса. Есть еще места, где опция должна стать disabled в зависимости от соседего поля, но она остается доступной для выбора.
через ssh делаю
IO
