Е
Спасибо гляну
Size: a a a
2021 April 01
D
единственное я не ставлю адреса на один и второй конец тунеля, но как я понимаю это все не обязательно, тем более тунель точно не по этому не поднимается.
500 - ipsec, естественно там будут тискать, если у тебя пир established.
Внимание вопрос - если ipip это инкапсуляция одного ip пакета в другой, где добавляется поле "внешнего" ip адреса, то что что у тебя будет внешним и внутренним адресом в заголовке, если адреса на нём нет?
Внимание вопрос - если ipip это инкапсуляция одного ip пакета в другой, где добавляется поле "внешнего" ip адреса, то что что у тебя будет внешним и внутренним адресом в заголовке, если адреса на нём нет?
E
500 - ipsec, естественно там будут тискать, если у тебя пир established.
Внимание вопрос - если ipip это инкапсуляция одного ip пакета в другой, где добавляется поле "внешнего" ip адреса, то что что у тебя будет внешним и внутренним адресом в заголовке, если адреса на нём нет?
Внимание вопрос - если ipip это инкапсуляция одного ip пакета в другой, где добавляется поле "внешнего" ip адреса, то что что у тебя будет внешним и внутренним адресом в заголовке, если адреса на нём нет?
я тебя не очень понял
PG
500 - ipsec, естественно там будут тискать, если у тебя пир established.
Внимание вопрос - если ipip это инкапсуляция одного ip пакета в другой, где добавляется поле "внешнего" ip адреса, то что что у тебя будет внешним и внутренним адресом в заголовке, если адреса на нём нет?
Внимание вопрос - если ipip это инкапсуляция одного ip пакета в другой, где добавляется поле "внешнего" ip адреса, то что что у тебя будет внешним и внутренним адресом в заголовке, если адреса на нём нет?
адреса внутреннего нет... внешние есть, ну без указания внешнего туннель и не заведется в принципе, а внутренние адреса... я так предполагаю что внутрреним адресом является адреса из "локалки" в "локалку", и этот IP пакет инкапсулируется в IP пакет с внешними белыми адресами от провайдера....
PG
я просто локальные адреса в принципе никогда не вешал на IPIP тунели, а в роутах указывал собственно тунель
VK
я просто локальные адреса в принципе никогда не вешал на IPIP тунели, а в роутах указывал собственно тунель
Это не очень хорошо.
SG
В пятницу состоится вебинар на тему: Packet-Flow Diagram: изучаем и понимаем диаграмму движения трафика в Mikrotik
Packet Flow Diagram — это ключ к пониманию многих процессов обработки трафика в Mikrotik. Без этого не всегда получается разобраться в том, почему, например, при пробросе трафика с порта 5555 на 3389, в Firewall необходимо открывать именно порт 3389, хотя по логике вещей трафик приходит именно на порт 5555.
То, как протекает трафик по роутеру, какие цепочки активируются и как они себя ведут — важная вещь для любого специалиста по Mikrotik.
Пятница 2 апреля , в 11-00 по Мск.
Трансляция в Youtube.
Регистрация (участие бесплатно): https://mikrotik-training.ru/webinar/
Packet Flow Diagram — это ключ к пониманию многих процессов обработки трафика в Mikrotik. Без этого не всегда получается разобраться в том, почему, например, при пробросе трафика с порта 5555 на 3389, в Firewall необходимо открывать именно порт 3389, хотя по логике вещей трафик приходит именно на порт 5555.
То, как протекает трафик по роутеру, какие цепочки активируются и как они себя ведут — важная вещь для любого специалиста по Mikrotik.
Пятница 2 апреля , в 11-00 по Мск.
Трансляция в Youtube.
Регистрация (участие бесплатно): https://mikrotik-training.ru/webinar/
D
я тебя не очень понял
Да...перечитал
D
адреса внутреннего нет... внешние есть, ну без указания внешнего туннель и не заведется в принципе, а внутренние адреса... я так предполагаю что внутрреним адресом является адреса из "локалки" в "локалку", и этот IP пакет инкапсулируется в IP пакет с внешними белыми адресами от провайдера....
Повесь адреса на интерфейсы, отправь какой-то пакет с одной стороны в другую, смотри прилетит ли этот пакет инкапсулированный на другую сторону. И наоборот. Варианты будут или это пнет стейт доступности второго конца туннеля, или тебе скажут, что анричибл и тогда надо смотреть доступен ли у тебя протокол ipip на вход с 2 сторон
E
Повесь адреса на интерфейсы, отправь какой-то пакет с одной стороны в другую, смотри прилетит ли этот пакет инкапсулированный на другую сторону. И наоборот. Варианты будут или это пнет стейт доступности второго конца туннеля, или тебе скажут, что анричибл и тогда надо смотреть доступен ли у тебя протокол ipip на вход с 2 сторон
я тебя не понял еще сильнее)
E
адреса на ипип-интерфейсы вешать не обязательно, хоть и "лучше, чем не вешать"
PG
я тебя не понял еще сильнее)
я понял его))) ты просто 7 стэбл поставил видимо)
E
и у ипип-туннеля нет "стейта" как такового, он устанавливается исключительно на основе кипэлайвов, прилетают ли они от другого конца, или нет
E
по аналогии с тем же ГРЕ
D
и у ипип-туннеля нет "стейта" как такового, он устанавливается исключительно на основе кипэлайвов, прилетают ли они от другого конца, или нет
Надо перечитать, но что-то там в рфц было про софтстейты, которые перед отправкой пакета проверяют и на основании этого icmp message выдают
PG
по сути банально остается вариант, что провайдер на одной или другой стороне решил обрубить тунель?
я включил вообще весь дебаг)) никаких ошибок нет, а в топике интерфейс вообще нет ничего
я включил вообще весь дебаг)) никаких ошибок нет, а в топике интерфейс вообще нет ничего
E
Надо перечитать, но что-то там в рфц было про софтстейты, которые перед отправкой пакета проверяют и на основании этого icmp message выдают
рфц-рфцой, но мы же оперируем конкретной реализацией
E
по этой же причине ГРЕ от МТ не со всеми вендорами дружит, пока не уберёшь кипэлайвы
E
Надо перечитать, но что-то там в рфц было про софтстейты, которые перед отправкой пакета проверяют и на основании этого icmp message выдают
банальный пример - подними ипип интерфейс до случайного адреса и убери кипэлайвы вовсе.
он всегда будет R, как и GRE
он всегда будет R, как и GRE