EOIP туннели, работает только туннель с id = 0 — Fastpath пропускает пинги (3 - RB953GS-5HnT)

Например, вот тут (от @simveck). Вместо того чтобы пропускать весь мусор откуда угодно (что происходит, если отключить правило «отбрасывать всё, что приходит не из LAN»), вы избирательно разрешаете только GRE и только с IP-пира. Основная проблема с tunnel-id, отличным от 0, кажется в том, что EoIP неправильно использует поле optional GRE header tunnel ID: оно использует всего два байта для самого tunnel ID, а остальные два — для размера кадра (который меняется). Это сбивает с толку трекинг соединения, из-за чего он не распознаёт принятые EoIP-пакеты как часть уже существующего соединения, созданного исходящими пакетами того же EoIP-туннеля. На самом деле, я не понимаю, почему это не проблема для tunnel-id 0. В стандартной настройке файрвола пакеты, относящиеся к уже известным соединениям, пропускаются правилом «accept established» в начале цепочки. Но это правило не срабатывает для входящих EoIP-пакетов по описанной выше причине, поэтому необходима избирательная настройка принятия. Кроме того, если обе стороны EoIP-туннеля не настроены на отправку keepalive-пакетов, вышеупомянутое правило нужно добавить в файрволы обоих пиров даже при использовании tunnel-id 0. Потому что без keepalive пакет с полезной нагрузкой от одной стороны туннеля должен дойти до другой, чтобы можно было отправить ответ. Если ни один из пиров не принимает первый входящий пакет, отслеживаемое соединение так и не установится ни у кого из них.

Могу подтвердить, что это работает, если отключить правило фильтрации. У меня это было правило по умолчанию /ip firewall filter add action=drop chain=input comment=“default configuration” in-interface=ether1-gateway. Но тогда возникает следующий вопрос: какое правило нужно создать, чтобы туннель eoip работал, ведь я предполагаю, что это правило фильтрации важно для безопасности фаервола.

Отключите правило - defconf: сбрасывать все пакеты, не идущие с LAN, после этого всё заработает.

Где же решение? Эта ошибка до сих пор не исправлена.

У меня такая же проблема. Значит, это точно какая-то ошибка.

Я пробовал несколько версий прошивки — 6.29.1 и 6.33.2 — и проблема осталась та же. Только при использовании ID 0 получается получить трафик. В прошивке 6.29.1 опция FastPath недоступна, и там тоже работает только с TunnelID 0. В 6.33.2 тоже работает только с TunnelID 0. Я пробовал вводить только Remote Address, а также и Remote Address, и Local Address вместе. Также проверял и с IPsec Secret, и без него. Но если включен IPsec Secret, FastPath активировать невозможно. В итоге результат одинаков — работает только при TunnelID, равном 0. Это большая проблема для нашей конфигурации, потому что нам нужно соединение минимум с 10 локациями, и оно должно быть через eoip, поскольку нужно поддерживать мультикаст.