Clamp tcp mss mikrotik что это
Перейти к содержимому

Clamp tcp mss mikrotik что это

  • автор:

MikroTik.by

For every complex problem, there is a solution that is simple, neat, and wrong.

  • Список форумовФорум по операционной системе MikroTik RouterOSМаршрутизация, коммутация
  • Поиск

Использование шлюза из другой сети

RIP, OSFP, BGP, MPLS/VPLS
17 сообщений • Страница 1 из 1
Chupaka Сообщения: 3758 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Использование шлюза из другой сети

Сообщение Chupaka » 16 мар 2020, 16:49

Видимо, с MTU проблема: не всё, что вылазит из клиента в ethernet, помещается целиком в тоннель.

/ip firewall mangle add action=change-mss chain=postrouting new-mss=clamp-to-pmtu \ out-interface=L2TP passthrough=yes protocol=tcp tcp-flags=syn 

Vini Сообщения: 45 Зарегистрирован: 30 янв 2020, 17:44

Re: Использование шлюза из другой сети

Сообщение Vini » 16 мар 2020, 17:20

Имеет значение последовательность правил в mangle?
не сработало(
Chupaka Сообщения: 3758 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Использование шлюза из другой сети

Сообщение Chupaka » 16 мар 2020, 19:14

Ну, главное, чтобы до него дело доходило. Например, вытащить на самый верх

Если всё сильно зафайрволено — можно попробовать вручную установить размер сегмента:

/ip firewall mangle add action=change-mss chain=postrouting new-mss=1300 \ out-interface=L2TP tcp-mss=1301-65535 passthrough=yes protocol=tcp tcp-flags=syn

Vini Сообщения: 45 Зарегистрирован: 30 янв 2020, 17:44

Re: Использование шлюза из другой сети

Сообщение Vini » 17 мар 2020, 17:10

Добрый день еще раз!
Обнулил оба Микротика на стенде, оставил ЗАВОДСКУЮ конфигурацию, правила Firewall заводские. Добавил только для L2TP.
На 172.16.10.1 создал сервер L2TP без ipsec и шифрований, настроил простое правило роутинга до 172.16.20.0
На 172.16.20.1 создал клиент до 172.16.10.1, настроил простое правило роутинга до 172.16.10.0
Ввёл первые две команды, написанные Вами — большинство интернета не открывается, очень малая часть открывается ОООЧЕНЬ медленно.
Ввел вторые две команды — стало лучше — страницы стали открываться немного быстрее, но некоторые по прежнему не открываются.

Vini Сообщения: 45 Зарегистрирован: 30 янв 2020, 17:44

Re: Использование шлюза из другой сети

Сообщение Vini » 17 мар 2020, 18:09

А если на Микротике-клиенте настроить интернет через VPN. То можно это сделать только для одного компьютера в сети?

Chupaka Сообщения: 3758 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Использование шлюза из другой сети

Сообщение Chupaka » 17 мар 2020, 18:11

Сложно обсуждать «некоторые» страницы с неизвестной причиной неоткрывания. Не открываются по таймауту?

Chupaka Сообщения: 3758 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Использование шлюза из другой сети

Сообщение Chupaka » 17 мар 2020, 18:12

Vini писал(а): ↑ 17 мар 2020, 18:09 А если на Микротике-клиенте настроить интернет через VPN. То можно это сделать только для одного компьютера в сети?

Clamp tcp mss mikrotik что это

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

«Зависание» сайтов на время

Обсуждение ПО и его настройки
1 сообщение • Страница 1 из 1
SparkLone Сообщения: 1 Зарегистрирован: 30 мар 2019, 18:24

Приветствую. Не так давно купил hap ac2. Интернет через 4g свисток (yota).
В принципе все устраивает, гибкость конфигурации, наваял скрипт на переподключение провисшего соединения и т.д..
Но есть 2 проблемы
1) когда скрипт переподсоединяет инет — если в этот момент ты браузился по какому то сайта, потом он перестает открываться, просто висит, другие уже полминуты-минуту как открываются, а этот нет.
2) периодически сайты в принципе «подвисают». Выглядит это так, ты листаешь ленту vk, все шустро летает, в какой то момент ты делаешь рефреш страницы — и тишина, все грузится, может и по полминуты подвисать. При этом этот же сайт с этого же компьютера но с другого браузера будет нормально открываться. Или начал к примеру открывать страницу с алиэкспресса, у тебя их штук 20 уже открыто, и тут все, нажимаешь ссылку комментов — тишина, или картинки перестают грузиться (в другом окне другой сайт ок работает, в другом браузере али ок работает)
Вот пример как это выглядит в safari (та же картина в хроме, не принципиально)
https://monosnap.com/file/q6gZQJ1fciD5A . pvyuwGcCmn

Все что я находил сводилось к проблеме MTU.
В итоге я отключил Change TCP MSS в профилях ppp
но создал (по какому то из советов в инете) руками правило
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn

В общем ничего не изменилось.
Пробовал проставить руками у ppp-out1 интерфейсе mtu=1400, а не 1500, — стало по ощущениям намного чаще воспроизводиться «подвисание сайтов», вернул 1500

Сегодня задисеблил правило в mangle. (т.к. прочитал что в очередной из прошивок сделали это рудиментом, если я правильно понял «!) ppp — implemented internal algorithm for «change-mss», no mangle rules necessary;»)
Провайдер Yota. Что интересно заходя на сайт https://www.speedguide.net/analyzer.php
Я получаю в ответе
MTU = 1400
MTU is not fully optimized for broadband. Consider increasing your MTU to 1500 for better throughput. If you are using a router, it could be limiting your MTU regardless of Registry settings.
MSS = 1360
MSS is not optimized for broadband. Consider increasing your MTU value.

В то время как на роутере везде пропсиано 1500, для всех интерфейсов.
Т.е. по логике вещей где то у провайдера кто то режет MTU с 1500 на 1400 и это и может быть проблемой. Я прав?
И можно ли как то это побороть на уровне роутера, не затрагивая клиенты?

Вот лог (там mangle еще не задисеблен).
Есть шанс что отключив правило в mangle все решится (вопроизводится то не так часто, нужно время чтобы убедиться), но маловероятно учитывая вывод с speedguide.net
Может кто то сталкивался как решать на роутере корректно все это малой кровью?

[admin@MikroTik] > export
# mar/30/2019 18:52:36 by RouterOS 6.44.1
# software > #
# model = RBD52G-5HacD2HnD
# serial number = B4A00A581B0E
/interface bridge
add admin-mac=74:4D:28:1E:84:DB auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] disabled=yes speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] disabled=yes speed=100Mbps
set [ find default-name=ether4 ] disabled=yes speed=100Mbps
set [ find default-name=ether5 ] disabled=yes speed=100Mbps
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MT wireless-protocol=802.11 wps-mode=\
push-button-virtual-only
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MT5 wireless-protocol=802.11 wps-mode=\
push-button-virtual-only
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] apn=internet.yota default-route-distance=1 name=yota
/interface wireless security-profiles
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip kid-control
add fri=»» mon=»» name=PS4 rate-limit=100 sat=»» sun=»» thu=»» tue=»» wed=»»
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=12h name=defconf
/port
set 0 name=usb1
/interface ppp-client
add apn=internet.yota disabled=no info-channel=1 name=ppp-out1 port=usb1
/ppp profile
set *0 change-tcp-mss=no
set *FFFFFFFE change-tcp-mss=no
/queue simple
add max-limit=2M/5M name=5Mb target=192.168.1.14/32,192.168.1.20/32,192.168.1.100/32,192.168.1.114/32
add max-limit=5M/5M name=»Sasha PC» target=192.168.1.188/32
add max-limit=0/10M name=PS4 target=192.168.1.194/32
add disabled=yes max-limit=100/100 name=»PS4 down» target=192.168.1.194/32
add max-limit=1M/30M name=Torrent target=192.168.1.140/32
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» connection-state=established,related
add action=accept chain=forward comment=»defconf: accept established,related, untracked» connection-state=established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» connection-state=invalid
add action=drop chain=forward comment=»defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input in-interface=ppp-out1
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ppp-out1
/system clock
set time-zone-name=Europe/Moscow
/system scheduler
add interval=20s name=check-ppp-client on-event=»#:log info message=\»*** start check any ppp client connection ***\»;\
\n:if ([/ping 8.8.8.8 interface=ppp-out1 interval=3 count=5] = 0) do= <\
\n :log info message=\»** RESTART MODEM ***\»;\
\n\t/interface disable ppp-out1\
\n\t/interface enable ppp-out1\
\n>\
\n#:log info message=\»*** end check any ppp client connection ***\»;» policy=ftp,read,write,test start-date=jan/01/2002 start-time=00:20:00
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add disabled=yes host=8.8.8.8

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 ppp-out1 1
1 ADC 10.112.112.158/32 10.147.15.232 ppp-out1 0
2 ADC 192.168.1.0/24 192.168.1.1 bridge 0

/ip dns print
servers:
dynamic-servers: 10.178.239.70,10.178.239.22
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 168KiB

iptables clamp-mss-to-pmtu и выбор цепочки.

Где правильно применять clamp-mss-to-pmtu и —set-mss в iptables. В FORWARD, в mangle FORWARD или в POSTROUTING? Сколько не смотрел доков и статей, единства не нашел.

 iptables -A FORWARD -o tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380 или iptables -t mangle -A FORWARD -o tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380 или iptables -t mangle -A POSTROUTING -o tun0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1381:1536 -j TCPMSS --set-mss 1380 

akv_
28.03.19 08:42:06 MSK

Общий ответ в mangle. А forward или postrouting зависит от желаемого результата, через forward пройдут только транзитные пакеты, через postrouting и транзитные и локальные.

anc ★★★★★
( 28.03.19 08:58:29 MSK )
Ответ на: комментарий от anc 28.03.19 08:58:29 MSK

Благодарю! Еще вопрос о направлении трафика достаточно одного правила out или нужно еще in?

akv_
( 28.03.19 12:27:37 MSK ) автор топика
Ответ на: комментарий от akv_ 28.03.19 12:27:37 MSK

Вы имеете в виду входящие/исходящие? mss корректируют у исходящих пакетов. Входящий к Вам уже пришел.

funky ★
( 28.03.19 15:17:49 MSK )
Ответ на: комментарий от funky 28.03.19 15:17:49 MSK

Некоторые сайты не открываются через тунель.

Вот так не работает, с одним правилом.

iptables -t mangle -A FORWARD -o tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

а если добавить:

iptables -t mangle -A FORWARD -i tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

То начинает работать.
akv_
( 28.03.19 18:58:41 MSK ) автор топика
Ответ на: комментарий от akv_ 28.03.19 18:58:41 MSK

Как я уже писал «зависит от желаемого результата». В общем случае построутинга хватит всем 🙂

anc ★★★★★
( 28.03.19 21:19:38 MSK )
Ответ на: комментарий от anc 28.03.19 21:19:38 MSK

В вашем примере это два почти разных по поведению правила. В первом случае пакет «нового соединения» который улетит с tun0 и без разницы с какого интерфейса он прилетел включая тот же tun0. Во втором, пакет «нового соединения» который прилетел на tun0 и улетит с любого интерфейса включая тот же tun0. Одинаковое поведение у этих правил будет только в случае если у пакета входящий и исходящий интерфейсы tun0.
ЗЫ Простите, может невнятно написал, в первом моем ответе я не рассматривал указание интерфейса, подразумевал только таблицу mangle и цепочку FORWARD или POSTROUTING.

anc ★★★★★
( 28.03.19 21:37:59 MSK )
Последнее исправление: anc 28.03.19 21:41:15 MSK (всего исправлений: 1)

Ответ на: комментарий от akv_ 28.03.19 18:58:41 MSK

Во первых, что у Вас за tun0? И во вторых, —clamp-mss-to-pmtu делают на интерфейсе, смотрящем в провайдера, т.е. никак не tun0. Если у Вас tun0 — это openvpn, то в нем самом нужно фиксить mss. Там есть параметр в конфиге, нет под рукой — погуглите.

funky ★
( 29.03.19 11:15:46 MSK )
Ответ на: комментарий от funky 29.03.19 11:15:46 MSK

Схема следующая, туннель gre/ipsec на одном конце MikroTik на другом VPS Ubuntu. MTU на туннельном интерфейсе 1418 одинаков и на Linux и на Mikrotik. Со стороны Mikrotik есть несколько клиентов которые должны ходить через этот тунель. Возникла проблема с некоторым кол-вом сайтов, которые не открываются, видимо PMTUD по какой либо причине не может быть задействован. По этой причине возникла идея с MSS. Сейчас на Ubuntu:

iptables -t mangle -A FORWARD -i tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

C этим правилом все работает. Мне нужно менять MSS только на туннельном интерфейсе.
akv_
( 29.03.19 13:10:24 MSK ) автор топика
Ответ на: комментарий от anc 28.03.19 21:19:38 MSK

Ну вот у меня например wifi на мобилу раздаётся, мне как прописывать?

anonymous
( 29.03.19 13:20:25 MSK )
Ответ на: комментарий от anonymous 29.03.19 13:20:25 MSK

iptables -t mangle -A POSTROUTING -p tcp —tcp-flags SYN,RST SYN -j TCPMSS —clamp-mss-to-pmtu

anc ★★★★★
( 29.03.19 23:20:13 MSK )
Ответ на: комментарий от funky 29.03.19 11:15:46 MSK

И во вторых, —clamp-mss-to-pmtu делают на интерфейсе, смотрящем в провайдера, т.е. никак не tun0.

Да шо ви говорите? Ну вот интерфейс прова у меня eth1, но дэфроут улетает на tun15 через прова по udp, и как мне поможет в этом случае исправление mss на интерфейсе eth1 ?

А если нет? Что делааать, что делааать? Памагите.

Вы очень узко рассматриваете задачу, в виде один входящий, один исходящий и mss-to-pmtu. Но вот представьте вариант (не реальный, но описывающий саму проблему). У вас сервер на котором исходящих интерфейсов более одного, на котором:
1. сервер ovpn1, всем клиентам на исходящие новые соединения надо установить mss 1000, клиентов раскидываем по разным исходящим интерфейсам.
2. серер ovpn2, всем клиентам на исходящие новые соединения надо установить mss 1200, клиентов раскидываем по разным исходящим интерфейсам.
3. ipsec — клиентам устанавливаем mss 1380
4. локальный исходящий, mss не трогаем
Решение возможно только с указанием входящего интерфейса (в случае ipsec направления), но никак не исходящего.

Пример построения VPN

WAN – 176.107.161.41, белый адрес для доступа в интернет;
LAN – 192.168.150.0/24, локальная сеть типа routed.

2. MikroTik:

WAN – 185.242.123.138, белый адрес для доступа в интернет;
LAN – 10.10.20.0/24, локальная сеть, находящаяся за роутером MikroTik.

2. Базовая настройка роутера MikroTik:

Если не требуется, переходим сразу к настройке VPN.

1. Настройка WAN:
ip address add address= interface= network=

где
WAN_ip/mask – ваш IP-адрес и маска, в нашем примере это 185.242.123.138/29,
– интерфейс типа uplink, например, ether1,
– адрес подсети, в нашем примере это 185.242.123.136/29.

Пример из GUI WinBox.

2. Настройка LAN:
ip address add address= interface= network=

где – 10.10.20.0/24,
– интерфейс локальной сети, например, bridge1*,
– 10.10.20.0.

Пример из GUI WinBox.

*Если для LAN используется интерфейс типа Bridge, то его необходимо создать отдельно и добавить туда нужные интерфейсы.

3. Настройка Default route:
ip route add distance=1 gateway=

где – IP-адрес шлюза по умолчанию, в нашем примере это 185.242.123.137.

Пример из GUI WinBox.

4. Настройка NAT для локальной сети:
ip firewall nat add chain=srcnat out-interface= action=masquerade

где – интерфейс типа uplink, например, ether1.

Пример из GUI WinBox.

5. Настройка DNS:
ip dns set servers=,

где , – это адреса DNS-серверов, например, публичные DNS Google 8.8.8.8, 8.8.4.4.

Пример из GUI WinBox.

6. Настройки безопасности*:

*Рекомендованы, но не обязательны.

ip service set telnet disabled=yes
ip service set ftp disabled=yes

#Выключаем FTP (если не нужен)

ip service set ssh port=

#Меняем порт SSH со стандартного TCP/22 на другой (отсекаем брутфорс)

ip service set www disabled=yes

#Выключаем доступ по HTTP

ip service set api disabled=yes

#Выключаем API (если не нужно)

ip service set api-ssl disabled=yes

#Выключаем API SSL (если не нужно)

ip service set www-ssl disabled=no

#Включаем доступ по HTTP

Пример настроек с консоли нашего MikroTik — ip service print:

Пример из GUI WinBox.

6.1. Настройки Firewall**:

**Рекомендованы, но не обязательны.

  • внешние DNS-запросы;
  • WEB proxy;
  • Microsoft-DS;
  • LOC-SRV.
  • ICMP;
  • доступ по HTTPS и Winbox;
  • Established и Related соединения;
  • IPSEC ESP и AH;
  • порты UDP/500 и UDP/4500 для IKE.

В конце правило drop для всех всех входящих на интерфейс типа Uplink пакетов.

ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp ip firewall filter add action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp ip firewall filter add action=drop chain=input dst-port=135,445 in-interface=ether1 protocol=tcp ip firewall filter add action=accept chain=input in-interface=ether1 protocol=icmp ip firewall filter add action=accept chain=input dst-port=443,8291 in-interface=ether1 protocol=tcp ip firewall filter add action=accept chain=input connection-state=established,related in-interface=ether1 ip firewall filter add action=accept chain=forward connection-state=established,related in-interface=ether1 ip firewall filter add action=accept chain=input in-interface=ether1 protocol=ipsec-esp ip firewall filter add action=accept chain=input in-interface=ether1 protocol=ipsec-ah ip firewall filter add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp ip firewall filter add action=drop chain=input in-interface=ether1

Пример настроек с консоли нашего — MikroTik ip firewall filter print:

Пример из GUI WinBox. Очередность действий для создания одного правила указаны. Вывод всех правил на скриншоте присутствует. Порядок правил очень важен, т.к. правила firewall отрабатываются сверху вниз.

3. Настройка VPN:

На роутере MikroTik:

1. Создаем профиль IPSec под именем S2SVPN, где указываем параметры шифрования:

ip ipsec profile add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h name=S2SVPN nat-traversal=no

Пример из GUI WinBox.

2. Создаем IPSec proposal под именем S2SVPN:

ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=S2SVPN pfs-group=modp2048

Пример из GUI WinBox.

3. Создаем IPsec-пир под именем S2SVPN, привязываем к нему ранее созданный IPsec profile S2SVPN:

ip ipsec peer add address= exchange-mode=ike2 local-address= name=S2SVPN profile=S2SVPN

где – IP-адрес NSX Edge, у нас 176.107.161.41,
– IP uplink, у нас 185.242.123.138.

Пример из GUI WinBox.

4. Создаем PSK-secret и привязываем его к ранее созданному пиру:

ip ipsec identity add peer=S2SVPN secret=

где – пароль для соединения, в нашем примере – qwerty123.

Пример из GUI WinBox.

5. Создаем политику с привязкой к ранее созданному пиру и proposal, в которой указываем связность между локальной подсетью и удаленной локальной подсетью:

ip ipsec policy add dst-address= peer=S2SVPN proposal=S2SVPN sa-dst-address= sa-src-address= src-address= tunnel=yes

где – локальная подсеть в облаке, у нас 192.168.150.0/24,
– локальная подсеть на MikroTik, у нас 10.10.20.0/24,
– IP-адрес NSX Edge, у нас 176.107.161.41,
– IP uplink, у нас 185.242.123.138.

Пример из GUI WinBox.

*ВАЖНО! Если в Site-to-Site VPN нужно добавить несколько локальных сетей, то нужно будет создать отдельную policy, а в поле Level во вкладке Action указать значение unique для каждой policy.

6. Дописываем правила в IP Firewall для того, чтобы разрешить трафик между сайтами VPN:

ip firewall nat add chain=srcnat dst-address= src-address= (place-before = 0 *) ip firewall raw add chain=prerouting dst-address= src-address= (place-before = 0 *)

где – локальная подсеть в облаке, у нас 192.168.150.0/24,
– локальная подсеть на MikroTik, у нас 10.10.20.0/24,

* Созданные в п. 3.6 правила ip firewall filter обязательно перемещаем вверх, т. е. они должны быть перед последним запрещающим правилом или ранее; для этого используется команда place-before. В данном случае правила нужно поставить первыми в списке, поэтому place-before = 0. Если же в цепочке правил данное правило будет первым, то команду place-before писать не нужно.

Пример из GUI WinBox.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *