Здравствуйте! Дано: (IP-адреса заменены на отличные от исходных) 1.1.1.0/24 - пул IP поставщика услуг. RB1100AHx2 Интерфейсы: eth1 - аплинк, IP 123.123.123.134 eth6 - абоненты с белыми ip. 1.1.1.129/, сеть 1.1.1.128/28, статика. ipip-to-server: /interface ipip add clamp-tcp-mss=no dscp=0 keepalive=10s,3 local-address=123.123.123.134 mtu=1480 name=IPIP_TUNNEL remote-address=1.1.1.1 IP-address на туннеле: 1.1.1.18, сеть 1.1.1.16/30 НАСТРОЙКИ: /ip firewall address-list add address=1.1.1.128/28 list=REAL /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=real_net src-address-list=REAL /ip route add distance=1 gateway=1.1.1.17 routing-mark=real_net freebsd-сервер, адрес 1.1.1.1 # ifconfig gif0 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500 tunnel inet 1.1.1.1 --> 123.123.123.134 inet 1.1.1.17 --> 1.1.1.18 netmask 0xfffffffc nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> options=1<ACCEPT_REV_ETHIP_VER> # netstat -rn | grep 1.1.1.128 1.1.1.128/28 1.1.1.18 UG1 0 191685096 gif0 Факты: Интернет доступен из подсети 1.1.1.128/28, что так же означает, что туннель работает, агенты туннеля видят друг друга. Узлы подсети 1.1.1.128/28 доступны от других белых ip-адресов в Интернет. GIF/GRE-туннели от абонентов подсети 1.1.1.128/28 с хостами из Интернет устанавливаются, но траффик по туннелям не ходит. Если ipip-туннель с 1.1.1.1 устанавливается от хоста фри вместо микротика, абонентсткие туннели работают нормально. Задача: Необходимо перевести сеть 1.1.1.128/28 на микротик вместо фрибсд с сохранением возможности установления gif/gre-туннелей со стороны абонентов. Вопросы: Как быть? Куда копать?
Тоже верно. ipip на микротике в R? Я не не знаю freeBSD. Не может быть проблемы в KeepAlive на ipip туннеле?
Да, флаг R есть. А как этот параметр может повлиять на фильтрацию пакетов? Стоит отметить, что в фаерволе нет правил ограничивающих туннели. Помимо этого для отладки были использованы forward по используемым абонентами протоколам. Счечтчики миели ненулевое значение.
