https://opennet.ru/openforum/vsluhforumID6/2339.html Добрый день всем!<br><br>Помогите советом: пришёл в контору работать. Сделана сеть в разных зданиях на разных улицах, объединена микротиками через EoIP в режиме бриджа. Но пароль от микротиков утерян во мраке времён. В "головном" офисе есть самба. По команде "сверху" пришлось сбрасывать микротик и восстанавливать конфигурацию. В принципе, всё поднялось - интернет бегает, но вот на сервер самбы из сегмента сети за микротиком зайти никак не могу. Ни по smb, ни по ssh. Пакетики на самбе вижу как входящие, так и исходящие; на микротике - тоже. Но на клиенте адреса самба-сервера в списке арп-ов нет. :( Где-то что-то я не доделал. : К сожалению, опыта работы с микротиками нет - есть некоторое понимание происходящего на базе знаний по линуксу, но местами микротики специфичные. :(<br><br>Список правил на микротике (возможно что-то лишнее):<br><br>[code]/ip firewall filter add action=accept chain=output comment="eoip to main office" dst-address=xx.xx.46.58 out-interface=WAN protocol=gre src-address=xx.xx.251.158<br>/ip firewall fil https://opennet.ru/openforum/vsluhforumID6/2339.html#5 Thu, 19 Jul 2018 05:11:15 GMT &gt;&gt; И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ: <br>&gt;&gt; [code]/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 <br>&gt;&gt; action=change-mss new-mss=1360 disabled=no[/code]Из-за правила "Drop invalid connections", <br>&gt;&gt; Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается <br>&gt;&gt; на https (а сейчас всё больше сайтов переходит на него). Благодаря <br>&gt;&gt; этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся <br>&gt;&gt; мягкими и пушистыми.<br>&gt; Не так. Раз у вас ГРЕ туннель, то появляются дополнительные заголовки. Потому <br>&gt; большие пакеты больше не проходят, так как по пути роутеры не <br>&gt; фрагментируют трафик.<br><br>Не согласен с вашим мнением по двум причинам:<br>1. https не бегает у меня через туннель - он бежит напрямую в канал к провайдеру и доп.заголовкам неоткуда взяться. GRE у меня (и работает без tcp mss) только для внутреннего трафика.<br>2. Источник, где я нашёл это правило, не приводил свою конфигурацию сети, https://opennet.ru/openforum/vsluhforumID6/2339.html#4 Thu, 19 Jul 2018 02:29:20 GMT &gt; И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ: <br>&gt; [code]/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 <br>&gt; action=change-mss new-mss=1360 disabled=no[/code]Из-за правила "Drop invalid connections", <br>&gt; Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается <br>&gt; на https (а сейчас всё больше сайтов переходит на него). Благодаря <br>&gt; этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся <br>&gt; мягкими и пушистыми.<br><br>Не так. Раз у вас ГРЕ туннель, то появляются дополнительные заголовки. Потому большие пакеты больше не проходят, так как по пути роутеры не фрагментируют трафик. Это правило позволяет согласовать маленькое поле МСС при инициализации TCP соединения, тогда две стороны отправляют пакеты меньшей порции, ессно работает только для TCP. В настоящих роутерах для этого есть ip tcp adjust mss<br> https://opennet.ru/openforum/vsluhforumID6/2339.html#3 Wed, 18 Jul 2018 14:25:37 GMT И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ:<br>[code]/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no[/code]Из-за правила "Drop invalid connections", Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается на https (а сейчас всё больше сайтов переходит на него). Благодаря этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся мягкими и пушистыми.<br> https://opennet.ru/openforum/vsluhforumID6/2339.html#2 Wed, 18 Jul 2018 13:31:34 GMT Сам себе и отвечаю - надо было разрешить GRE между наружными адресами.<br> https://opennet.ru/openforum/vsluhforumID6/2339.html#1 Tue, 17 Jul 2018 12:08:22 GMT Поправка (после перезагрузки шлюза) arp-таблица на клиенте заполнена правильно, но доступа к серверу самбы, всё равно, по внутренней сети нет. Хотя пинг проходит.<br>