Е
попробуй отключить дропы фильтра фаервола
реально помогло, заработало
кхм. какое отношение имеет мту к закрытому пингу?
сразу анекдот про нового русского вспоминается и его поломатый мерседес...
Size: a a a
2020 June 19
E
13 лет, 13 лет... :)
RK
Спс 👍
dst-nat просто меняет в заголовке пакете адрес в заданном месте - никаких вычислений(дополнительных)
Е
а как теперь без дропов? или нужно какое-то другое правило добавить исключающее проброс из дропа?
a
13 лет, 13 лет... :)
т.е. мой закрытый пинг на моем тике будет мешать мту?)
А
а как теперь без дропов? или нужно какое-то другое правило добавить исключающее проброс из дропа?
нужно правильно настроить дропы
a
чего не мешает сейчас?
E
Кто может помочь на crs125-24 настроить MAC Access per Port?
K
чего не мешает сейчас?
если ты не видишь проблемы, это не значит что ее нет
E
т.е. мой закрытый пинг на моем тике будет мешать мту?)
он будет мешать pmtud, если ты в курсе его существования, конечно же)
RK
а как теперь без дропов? или нужно какое-то другое правило добавить исключающее проброс из дропа?
в drop forward сделайте !dst-nat
a
он будет мешать pmtud, если ты в курсе его существования, конечно же)
PMTU discovery – технология определения PMTU разработанная для уменьшения нагрузки на маршрутизаторы. Описана в RFC 1191 в 1988 году. Суть технологии заключается в том, что при соединении двух хостов устанавливается параметр DF (don’t fragment, не фрагментировать), который запрещает фрагментацию пакетов. Это приводит к тому, что узел, значение MTU которого меньше размера пакета, отклоняет передачу пакета и отправляет сообщение ICMP типа Destination is unreachable (Хост недоступен). К сообщению об ошибке прилагается значение MTU узла. Хост-отправитель уменьшает размер пакета и отсылает его заново. Такая операция происходит до тех пор, пока пакет не будет достаточно мал, чтобы дойти до хоста-получателя без фрагментации.
a
я с такой дичью не сталкивался
E
PMTU discovery – технология определения PMTU разработанная для уменьшения нагрузки на маршрутизаторы. Описана в RFC 1191 в 1988 году. Суть технологии заключается в том, что при соединении двух хостов устанавливается параметр DF (don’t fragment, не фрагментировать), который запрещает фрагментацию пакетов. Это приводит к тому, что узел, значение MTU которого меньше размера пакета, отклоняет передачу пакета и отправляет сообщение ICMP типа Destination is unreachable (Хост недоступен). К сообщению об ошибке прилагается значение MTU узла. Хост-отправитель уменьшает размер пакета и отсылает его заново. Такая операция происходит до тех пор, пока пакет не будет достаточно мал, чтобы дойти до хоста-получателя без фрагментации.
AJ
dst-nat просто меняет в заголовке пакете адрес в заданном месте - никаких вычислений(дополнительных)
Это я знаю. Просто смотрю все на netmap ругаются что нельзя использовать.. Стали интересно
IB
Если бы всё было так просто :). https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches#Cloud_Router_Switch_models CRS125 не поддерживает ACL (message failure: policy rules are not supported on this switch chip.), а через /interface bridge filter не получается настроить. Может ещё какие есть варианты?
K
я с такой дичью не сталкивался
за то потом заблокируют icmp и думают "че же сеть так херово работает..."
AJ
А где тогда целесообразно использовать netmap?
E
Если бы всё было так просто :). https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches#Cloud_Router_Switch_models CRS125 не поддерживает ACL (message failure: policy rules are not supported on this switch chip.), а через /interface bridge filter не получается настроить. Может ещё какие есть варианты?
через бр-фильтр это настроить можно, но весь траффик пойдёт через цпу. так что увы.