Проблема с непонятным трафиком в EOIP туннеле

[alekshoop]

Здравствуйте. Имеется проблема.
Имеется 2 микротика. За каждым из них подсети из одного адресного пространства. Диапазоны адресов не пересекаются.

Между ними поднят EOIP туннель. Туннель добавлен в тот же bridge, что и интерфейсы локальной сети.
Узлы нормально общаются через туннель.

В интернет узлы каждой из локалок ходят через "свой" роутер. Т.е. через тот, на локальном интерфейсе которого висят. Трасерты показывает правильные.

Но есть проблема. Если какой-то хост начинает активно использовать канал в интернет (Не мультикаст. Качать файл, например), то весь входящий трафик, который предназначается этому хосту, попадает в бридж и отправляется еще и в eoip туннель. Тем самым забивая его по самый ...
В итоге, пока пользователь не докачает файл, eoip туннель в ступоре. Причем в этот момент в Interfaces показывает значения Tx с равномерной загрузкой (равной скорости закачки) на интерфейсах WAN, Bridge, EOIP-tunnel.

А на роутере с другого конца туннеля в Interfaces показывает значения Rx с равномерной загрузкой (равной скорости закачки) на интерфейсах WAN и EOIP-tunnel.

Т.е. получается весь трафик плюется помимо локального интерфеса роутера, к которому подключен качающий клиент, еще и в туннель.

В какую сторону копать не пойму.
Похоже так отрабатывает bridge для входящего траффика. Пуляет его и в Ether и в EOIP.
Но добавлять EOIP в bridge с локалом написано во всех wiki. Все сделано по документации.
В итоге туннель есть. Но пользоваться невозможно. Т.к. по нему постоянно "гуляет" трафик не имеющий никакого отношения к узлам на другом конце. Если бы это был мультикаст, то еще можно понять, но тут натированный трафик гуляет.
Как это решить?

[algerka]

Как раз с чем-то похожим у себя разбираюсь. В EOIP туннеле даже если никто ничего не делает 5Mbit трафик идет. Думал на бродкасты, но слишком что-то большой объем. На канале 100 Мбит не сильно напрягает, но разобраться хотел бы.

Покажите конфиг. Случаем порт по которому интернет у вас не включен в бридж ?

[podarok66]

правило в бридже стоит?

Код: Выделить всё

/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"

[alekshoop]

правило в бридже стоит?

Код: Выделить всё

/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"

Да, правило стоит. Вариант с получением по dhcp "чужого" шлюза я проверил сразу.
Тем более проверял с узла с прописанной статикой. Все-равно нагружается eoip туннель.

Вот конфиг

 

Код: Выделить всё

  feb/06/2017 09:24:16 by RouterOS 6.38rc37
# software id = HKT2-TQWT
#
/interface bridge
add mtu=1500 name=bridge_local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN1 mac-address=C0:4A:00:DA:E9:E5
set [ find default-name=ether2 ] comment=WAN2
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] master-port=ether3
set [ find default-name=ether5 ] master-port=ether3
set [ find default-name=ether6 ] comment=LAN2
/interface eoip
add comment=Krivskoe disabled=yes mac-address=FE:C3:F0:0D:6D:CB name=\
    eoip-tunnel1 remote-address=*.*1.247.14 tunnel-id=0
/ip neighbor discovery
set ether1 discover=no
set ether2 discover=no
set ether3 discover=no
set ether4 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set sfp1 discover=no
/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=wifi_protect supplicant-identity="" \
    wpa2-pre-shared-key=11111111
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
    frequency=2447 mode=ap-bridge security-profile=wifi_protect ssid=Persey
/ip neighbor discovery
set wlan1 discover=no
/ip pool
add name=dhcp_pool1 ranges=192.168.0.121-192.168.0.149
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=yes disabled=no interface=\
    bridge_local lease-time=2h name=dhcp1
/interface bridge filter
add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip
/interface bridge port
add bridge=bridge_local interface=ether3
add bridge=bridge_local interface=wlan1
add bridge=bridge_local interface=eoip-tunnel1
/interface ethernet switch host
add mac-address=01:80:C2:00:00:00 redirect-to-cpu=yes share-vlan-learned=no \
    switch=switch1 vlan-id=1
/ip address
add address=1.1.98.37/29 interface=ether1 network=1.1.98.32
add address=192.168.0.1/24 interface=bridge_local network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=input comment="Deny invalid connections" \
    connection-state=invalid
add chain=input comment="Permit icmp" protocol=icmp
add chain=input comment="Permit established connections" connection-state=\
    established
add chain=input comment="Permit related connections" connection-state=related
add action=drop chain=input comment="Deny new connections" connection-state=\
    new in-interface=!bridge_local
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=netmap chain=dstnat comment=Vid_117 dst-port=8000 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.0.117 to-ports=8000
add action=netmap chain=dstnat dst-port=85 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.0.117 to-ports=85
add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.0.117 to-ports=554
add action=netmap chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.0.117 to-ports=443
/ip route
add distance=1 gateway=1.1.98.33
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd interface pages
set 0 interfaces="sfp1,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8\
    ,ether9,ether10"
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes server-dns-names=3.ru.pool.ntp.org
/system routerboard settings
set protected-routerboot=disabled

[seregaelcin]

Нарисуйте схему, из описания ниче не понятно, например "В интернет узлы каждой из локалок ходят через "свой" роутер."

[seregaelcin]

Как раз с чем-то похожим у себя разбираюсь. В EOIP туннеле даже если никто ничего не делает 5Mbit трафик идет. Думал на бродкасты, но слишком что-то большой объем. На канале 100 Мбит не сильно напрягает, но разобраться хотел бы.

Покажите конфиг. Случаем порт по которому интернет у вас не включен в бридж ?

Кликните на EOIP - интерфейс, нажмите кнопку торч и посмотрите что за трафик ходит.