LEXXA: aha jasne, ja si prave matne vybavoval 1460, ale mas tam jeste ten tunel. Zajimave ze to nic nezlepsilo. Neni mozne ze ISP nejak qoskem znevyhodnuje IPsec tunely? Vic me tedy nenapadá .)

DELVIT: chova se to uplne stejne

Manual:IP/IPsec - MikroTik Wiki
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#HEXv3_.28mmips.29_Config_Optimizations

Packet fragmentation can be avoided by sending packet over the tunnel that will fit in 1500 bytes after Ipsec and other encapsulation protocol headers are added. Ipsec header size depends on tunnel/transport mode and used encryption algorithm. With pure Ipsec in tunnel mode it is possible to safely send 1400byte packets. To avoid fragmentation for TCP traffic, change-mss rule should be added to change TCP MSS to 1400-40=1360bytes. See example in the mangle manual

LEXXA: A to nic nezlepsilo? Proc zrovna na 1360 to psali v tom navodu a nejak to vysvetlili?

DELVIT: muze, pisou to tam. proto dle navodu na strankach jsem zmenil mss

chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp out-interface=vpnOut tcp-mss=1301-65535 log=no log-prefix=""

LEXXA: hmm, pokud se to bude vzdy sifrovat IPSecem tak se to blbe testuje. Nemuze byt problem, varim z vody, MTU napr?

DELVIT: coz o to. muzu ho uplne vypnout a jet ciste eoip. jde o to ze btest taky podleha ipsec politice tudiz se ten provoz taky musi sifrovat.

LEXXA: hehe, to se nedivim. Ale pokud je problem v IPSECu z nejakeho duvodu, coz je jedine co me zatim napada, tak. y se to tak dalo potvrdit ci vyloucit.

DELVIT: uprimne jse liny nastavovat ovpn

LEXXA: kdyz bys je zkusil projit jinak treba OpenVPN tak to dela to same?

simvas. drobet maturuji ze siti
mam dva mikrotiky coby gw do internetu. mezi nima je EoIP/IPSEC
kdyz pouzivam bw test se to chova absolutne nadherne. saham si na maximu linky. procesory zvladaji sifrovat. naprosta lahoda.

v obou dvou pripadech je setup plus minus stejny.
br0 - 1 iface jako wan. dhcp client je na br0
br1 - zbytek interfacu jako lan. dhcp server zase na br1
je tam par elementarnych fw pravidel, master nat masquerade, 5 simple queue na prioritizaci.
ve zratce mit tam mikrotika je overkill.

co se deje. za jednim z mikrotiku je server. za druhym mikrotikem je klient.
kdyz testuji iperfem (nebo nejak kopiuji data) tak se dostavam na cca 20% propustnosti dratu.
zaroven kdyz testuji kazdy z akteru v tom testovani zvlast tak dostavam docela prijatelne vysledky.

uz me nejak nenapada kde hledat a co mi skrti propustnost.

LEXXA: Když mě se to nikdy nechce.
A pak toho lituju :D

Nepoučitelnej.

CHOROBA: Já neměl zatím čas tu myšlenku rozvíjet, ale obecně si teď nedokáži představit jak A iface spárovat jen s A adresou za pomoci listů, abych ušetřil počet pravidel. Ale třeba mi něco zásadního uniká...

JOINTER: To by se jeden posral.

Tam se z autoconfigu dostalo blbě heslo a nastavilo se chybně... takže se pak ani nespustil ten wifi modul, a nejelo to. Po odebrání wifi zařízení a přidání zpět ručně, voilá, světe div se, zázrak.

Ale nechápu to, dělal jsem to i sám včera, zabralo to až dneska. Tímto uzavírám jako problém mezi židlí a klávesnicí :)

KARYSLAV: Ja mam dve wifi a rozhodne to mam cely v bridge a funguje to.
Takze to musi jit.

ATAN: jako že tam není žádnej klient, nebo že tam není „síťovka“ protože když jsem to zkoušel v kanclu, tak mi tam dvě wifiny svítily, tak jak to že ne teď po updatu a nastavení :D

Wifina nesvítí, takže se k ní nemůže nic připojit.

KARYSLAV: disabled u bridge u wifi znamena, ze tam neni pripojene zadne wifi zarizeni

KARYSLAV: Ahgrrr. Tak nevím. Vzdávám to. Nechávám se podat. Proč mám druhou wifinu „disabled port?“

Pěkně prosím, smutně koukám!
Už fakt nevím. A google nic. Jako nic nic. To se mi nestalo tak 10 let.

zdarec, dotaz - když mám mikrotik se dvěla wifinama, můžu je mít v jedné síti, nebo to musím oddělit? Protože mi 5ghz nechce spolupracovat, a řve na mě že disabled port.

Jel jsem to z quickconfigu.

vložil jsem si inzerat. prestoze jsem se driv v mikrotiku vrtal, tak to nechci řešit, rad někomu za nastaveni zaplatim.

mate-li nekdo zajem, ozvěte se: 
[ OFFERING WORKNABÍZÍM PRÁCI: nastaveni wifi site mikrotik / 5km jižně od prahy. ]

udelat si iface list a ip list?