Накладные расходы это как раз про л3

Мы скорее об разном говорим

Плюс нет схемы. От человека и точной задачи

нужно делать виртуальный интерфейс

основнойв режим моста,виртуальный цеплять к капсману

Добрый день, коллеги. Я тут столкнулся с интересным поведением dst-nat при работе на одном маршрутизаторе с mpls. отчет о проблеме я оформил в не очень серьезной новогодней форме. Буду благодарен если вы поделитесь своими мыслями.

Нужно чистить таблицу коннтрака после изменения правил и/или включения/отключения всяких функций маршрутизации типа мплс. Это потому что вся информация о нате хранится в записи таблицы коннтрака, которая создаётся один раз по первому пакету соединения, а последующие пакеты этого соединения уже обращаются к этой записи. Обычно если что-то где-то не заменятся в нате обратно, то, скорее всего, пакет не попадает под запись коннтрака. Не уверен на 100% про то, как правильно микротик натит инкапсулированные в мплс-пакеты. Нужно погуглить по микротиковскому форуму.

так в чужую сеть пакет уже должен уходить без метки

т.е на момент срц-ната на пакете метки не должно быть

ну они инкапсулированные только пока летят между r1 и r2. и на них же они декапсулируются и передаются процессу ip

так и есть, иначе бы любые действия с пакетом стали бы невозможны

сними дамп с интерфейса в сторону чужой сети

посмотри что там в пакетах

и так понятно, что мандарины, Новый Год же на носу

я откинул чужую сеть и имитировал ее с помощью еще одного роутера и снимал дампы там. возвращается пакет без подмены src.addr

ну надо смотреть конфиги,мало ли где-то косяк

т.е. роутингу работать включение LDP не мешает, а NAT перестает.

Всем привет! Кто-нибудь сталкивался с ошибкой проверки удаленного сертификата при поднятом IPSec? Говорит, что не может использовать sha1 для rsa signature, хотя у меня во всех настройках стоит sha256...

кто говорит
где говорит
когда говорит
как говорит
кому говорит
Разговаривающий IPSec, аааааа