LEXXA: takze zahada nevyresena. udelal jsem policy-based tunnel. chova se to identicky. takze nejspis budu muset dojet k routeru A a udelat z bridge switch. coz je uz jedine co jsem nevyzkousel.
v prubehu testovani jsem si ale vzpomnel proc jsem vlastne zavrhnul delani tunelu ciste pres politiky. ono to z nejakeho duvdu pres to neumi posilat netflow.

LEXXA: Ano. Pouzivam to.
x - y
x2 - y2
x3 - y2
atd.

rychla otazka. muzou dve ipsec policy sdilet stejneho peera? ja se radsi teda zeptam nez si ustrihnu tunel :)

jo v natu musis mit pro ty range accept

KUTNY: zkusim to

KUTNY: A v pripadne NATu mit pred prekladovym praidlem LAN A/B do Inetu pravidlo deny LAN A - LAN B. Preklad se deje drive nez IPSec policy.

LEXXA: Ano. S tim, ze LAN A a B jsou jine adresni prostory.

KUTNY: jakoze sundam eoip a udelam
ip ipsec policy add blabla tunnel=yes ?

LEXXA: Jestli to chapu dobre. Tobe staci toto?

Klient LAN A -- MT1 -- Inet -- MT 2-- LAN B Server

Pak staci na MT1 mit nastaveny IPSec s politikou "sifruj" provoz z A do B a na MT2 z B do A - IPSec v tunel modu .
Nic jineho neni potreba - zadny ipip, gre aj. tunely.

KUTNY: uz jsem nasel zminku a priklady
How to configure a home router - MikroTik Wiki
https://wiki.mikrotik.com/wiki/How_to_configure_a_home_router#Bridging_vs_routing

nechapu jak jsem mohl tolik let fungovat bez toho abych tohle aspon zkusil.

LEXXA: To bohuzel nemuzu - nemam. Problemy s bridgem jsem resil v jinem pripade - u AP v bride mode.
Ale pokud neni problem, ze klient nebude na stejne L2 siti jako server, poslu, jak bych to nastavil.

KUTNY: muzes mi poslat odkaz na reseni toho co mam doma bez bridge?

LEXXA: To buzel nevim. Nemel jsem na to nervy a bridge jsem zrusil a bylo po problemu.

KUTNY: ano. mam jen dva mikrotiky takze btest jako takovy muzu generovat jen mezi nema.
taky me napadl bridge ale nejak nevim na co se koukat

LEXXA: Ten btest generujes na stejnem MT, ktery sifruje provoz klient - server?
Jestli ano, pak me napada, ze je rozdil mezi provozem generovanym obema MT a bridgovanym provozem pres ne.

LEXXA: a logy nic rozmuneho nevyhazuji?

LEXXA: hmm to mas pravdu kdyz je to takhle.

DELVIT: pokud by to bylo ISP tak mezi obema mikrotikama bych nedosahoval wire speed.
tohle se mi deje jen jdou data do mikrotiku - pres mikrotik - tunelem - do druheho mikrotiku - a do druhe site

LEXXA: aha jasne, ja si prave matne vybavoval 1460, ale mas tam jeste ten tunel. Zajimave ze to nic nezlepsilo. Neni mozne ze ISP nejak qoskem znevyhodnuje IPsec tunely? Vic me tedy nenapadá .)

DELVIT: chova se to uplne stejne

Manual:IP/IPsec - MikroTik Wiki
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#HEXv3_.28mmips.29_Config_Optimizations

Packet fragmentation can be avoided by sending packet over the tunnel that will fit in 1500 bytes after Ipsec and other encapsulation protocol headers are added. Ipsec header size depends on tunnel/transport mode and used encryption algorithm. With pure Ipsec in tunnel mode it is possible to safely send 1400byte packets. To avoid fragmentation for TCP traffic, change-mss rule should be added to change TCP MSS to 1400-40=1360bytes. See example in the mangle manual