utya

@Le ecureuilуже давно включал фрагментацию не помогало. Сейчас Удалил всё тунели, накатил новый драфт 2.11. Mtu не трогал он сам настроился. Включил фрагментацию. Понимаю что где-то какая-то вшифвая галочка стоит или ещё какая-то "хрень" которая не даёт нормально работать, но глаз уже замылен окончательно. Селф-тест приложил ниже.

Я снова решил поднять eoip. для mtu дописал ip tcp adjust-mss 1300 и включил фрагментацию. Локальные сервера как не работали так и не работают, но если подключиться по vpn к однуму из роутеров которые соединены по eoip между собой то всё работает и хорошо открывается. Дальше погуглил матчасть, где то вычитал что если бриджевать с локалкой то нужно mtu увеличить, но в нашем случае mtu для eoip выставляется автоматом по исходящему инету, поэтому этот вариант не работает. В итоге выставил ip mtu 1200 ну уж точно должно пролезть, но не работает ничего. (Пингуется но локальные ресурсы не работают) Ну куда ещё копать? Mtu 1000 не помогает, его же бесконечно меньше нельзя делать. я уже обновил прошивку, снёс всё к заводским настройкам. interface EoIP0 mac address de:bf:c3:2b:d5:5e security-level private ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1200 ip tcp adjust-mss pmtu tunnel destination xx.yyy.ru tunnel eoip id 1500 up ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G include EoIP0 security-level private ip address 192.168.234.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers igmp downstream up !

сейчас я использую route -n | grep 'UG[ \t]' | awk '{print $2}' но он возвращает ip рабочего инета, а я бы хотел чтобы возвращал что-то типа eth.2.4 или ubr_nas0 и т.д. Сделал так route -n | grep 'UG[ \t]' | awk '{print $8}' но не знаю правильно ли, может есть вариант более красивый

У меня имеется три резервных канала, у каждого свой внешний ip адрес, если бы эти ip адреса были статикой я бы по ним знал через какой инет выходит роутер, но они каждый раз разные. Поэтому вопрос какой командой можно узнать интерфейс через который роутер выходит в инет?

ну я модель Osi немного знаю, но понятное дело что этого мало чтобы понимать всю глубину и правильность выставки mtu. Спасибо за пост, буду почитать матчасть. Ну а пока свернул все каналы, а то ничего не работает, невозможно работать.

@dexter так можно или ip mtu удалить? interface EoIP0 mac address 9a:19:f0:cb:d1:44 security-level private ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1100 ip tcp adjust-mss 1100 tunnel destination xx.xxx.ru tunnel eoip id 1500 up

спасибо, сейчас попробую

ок, включаю фрагментацию, ставлю самое маленько значение mtu для eoip на обоих концах (начну с него) и повышаю пока не перестанет ходить system set net.core.eoip_allow_fragment 1 interface EoIP ip mtu 1200 такая команда нужна?: ip tcp adjust-mss pmtu

я понимаю что дело в mtu. Я прочёл все сообщения в ветке косательно mtu, что тока не пробовал, и фрагментацию включал, и выставлял одинаковые значения на обоих концах, и выставлял автомато, и ставил 1280. Единственно я не знаю, ка кпроверить поддеживает ли провайдер прохождение фрагментируемых "пакетов" Но хочется как-то научно подойти, может есть какае-то "методики", как это граматно настроить

Понял, тоесть если мультиаст то только EoIP. А можете подсказать почему внутренние сервисы не работают, я уже думал может какие-то iptbles правила у меня на сервер настроены, но нет. доступ открыт всем, сервре пингуется, по ssh через раз могу зайти, но web не открывается. Селф тест выкладывал выше. Такая ситуация наблюдается что в eoip, что в Gre.

вот и я голову ломаю, не могу понять чё не ходит мультикаст.

@r13 ок буду разбираться с сервером, поскольку и по ssh могу на него зайти. Чёто косяк с http, все сервера не открываются. Ещё вопрос по gre, чтобы мультикат ходил, никаких настроек в acl не надо, кроме no isolate-private и security-level private?

Вот селф тест если чё. К роутеру DSL пригнал сеть giga. Кругом единая сеть и все хосты пингуются. Есть openhab c адресом 192.168.234.136, из сети giga зайти на на него могу, а с "сети" dsl только пинги долетают. self-test_giga3.txt self-test_DSL (2).txt

@r13может вы подскажите, eoip настроен пинги между хостами ходят. Но на внутренний сервер зайти не могу. Там и там no isolate-private, ipsec нет.

а какие команды вы вводите чтобы настроить тунель на стороне? судя по этому 5 22:23:55 ndm: IpSec::Configurator: remote peer of crypto map "EoIP0" returned invalid key notification. точно ключ правильны? и попробуйте ipsec ikev2

ffmpeg норм штука

не если покупать и делать камеры под себя лучше уж xiaomi yi ants, там они почти чё хочешь умеют делать. Но греется и иногда вырубается. Но речь шла, о том что у же есть камера и с ней надо чёто делать.

Но вроде поддержка ikev2 появилась только в 2.10 следовательно на 2.09 не получится это сделать, только если отключать virtualip server

прописал, без ipsec заработало всё, с ipsec не поднимается. Жду чё админу по селф-тесту скажут

ну я писал no isolate-private. А ещё такой вопрос, а нужно тунелям давать внутренние адреса если их добавлять в бридж?

Создаю отдельный сегмент его цепляю на определённый порт затем в cli interface Bridge2 (он так обозвался кинетиком) include EoIP0 и теперь если подключусь к тому порту, у меня будет dhcp от удалённого роутера? все верно делаю?

А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.

А сколько giga 3 может одновременно ipsec каналов держать (ipip eoip gre)? И сколько не ipsec? Нужна 3 квартиры соединить, получится?

стало понятно спасибо, переделаю все сети в одну.

ну а если они вообщем из разных подсетей? 192.168.234.1/24 один 192.168.235.1/24 второй