http://mikrotik.moscow Новое в теме Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Fri, 10 Apr 2026 04:58:04 +0300 Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста RouterOS в форуме RouterOS.
Когда речь заходит о нестандартных значениях MTU, помните, что eoip передаёт трафик второго уровня… где нет ни PMTU, ни фрагментации. Если интерфейс eoip «привязан» как порт моста с целью обеспечить сквозную L2-связь, то MTU для eoip нужно ставить такой же, как у остальной части LAN (скорее всего 1500) и принять неудобства, которые это влечёт. Дело обстоит иначе, если eoip используется как интерфейс (например, для маршрутизации) — тогда уменьшение MTU — вполне допустимый вариант. Но это всё равно неудобство, и лично я скорее соглашусь на, скажем, 10% падение производительности, чем буду разбираться с потенциальными проблемами из-за меньшего MTU (которые могут и не проявиться, а значит, решать их потом — то ещё мучение).
26.06.2024 13:22:00, mkx.]]> http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387693 http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387693 Wed, 26 Jun 2024 13:22:00 +0300 RouterOS Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста RouterOS в форуме RouterOS.
Вы можете установить MTU для WireGuard и EoIP на 1500, это становится менее эффективным, так как крупные пакеты фрагментируются, но они собираются заново на конечной точке. Можно, например, прописать MTU для EoIP на 1500, а для WireGuard оставить 1420 (1420 предполагает отсутствие PPPoE). Альтернативно, можно использовать правило mangle для ограничения MSS (clamp к PMTU), но это работает только для TCP/IP.
26.06.2024 03:20:00, rplant.]]> http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387692 http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387692 Wed, 26 Jun 2024 03:20:00 +0300 RouterOS Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста RouterOS в форуме RouterOS.
Предполагаю, что мост EoIP правильно загружен с IP-адресами двух концов WireGuard. Дополнительной маршрутизации для туннеля WireGuard нет. EoIP находится внутри локального моста. У моста есть свой IP-шлюз и DHCP-сервер, а DNS-сервер — это тот же самый шлюз. Также у вас есть правило NAT:
/ip firewall nat add action=redirect chain=dstnat comment=“DNS LOCAL” dst-port=53 protocol=udp src-address=YOURLAN to-ports=53
И в IP/DNS прописан внешний DNS. С другой стороны, хорошей практикой будет использовать аренды (Leases) на DHCP-сервере. Проверьте эти моменты, возможно, где-то что-то настроено неправильно. Что касается сервисов в Box — Jellyfin, TVHeadend и прочих, они могут иметь гибкие настройки для внутренних и внешних сетей. Но я бы не стал полностью доверять автопоиску.
25.06.2024 22:01:00, yccit.]]> http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387691 http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387691 Tue, 25 Jun 2024 22:01:00 +0300 RouterOS Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста RouterOS в форуме RouterOS.
Ты проверял с установленным флагом DF, когда получил 1500 байт?
20.02.2024 09:13:00, MrYan.]]> http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387690 http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387690 Tue, 20 Feb 2024 09:13:00 +0300 RouterOS Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста RouterOS в форуме RouterOS.
Привет, JimKusz, у меня такая же проблема. Я использую Wireguard из-за NAT/WAN и отсутствия публичных IP на удалённых участках. Сверху на WG я использую туннель EoIP. Если я добавляю интерфейсы EoIP в мост, некоторые сайты становятся недоступны. Ты уже нашёл решение? Я ещё не тестировал разные MTU. С уважением, Ян
20.02.2024 06:54:00, TikYAN.]]> http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387689 http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387689 Tue, 20 Feb 2024 06:54:00 +0300 RouterOS Возможные проблемы с MTU второго уровня при использовании EoIP-туннеля и моста RouterOS в форуме RouterOS.
Всем привет! Я использую RBwAPGR-5HacD2HnD в качестве домашнего интернет-роутера, подключённого через LTE. Чтобы обойти всю эту тоску с двойным NAT от LTE, я ещё настроил WireGuard, чтобы весь трафик с роутера уходил в VPN на мой pfsense с публичным IP. Всё крутейше работает — сайты летят без нареканий, жизнь прекрасна и так далее. Теперь хочу добавить в эту схему HD HomeRun TV-тюнер, который находится в другом месте. Проблема в том, что эти тюнеры «считаются» теми, под которые большинство приложений не работают при наличии L3-прыжка — их задумывали и проектировали для работы в одной локальной сети с устройством, которое ими пользуется.

У меня валялся старый роутер Mikrotik, и я решил протянуть между ними EoIP-туннель (без дополнительного шифрования, ведь устройство физически подключено к «безопасной» физической LAN, которая уже зашифрована WireGuard с pfsense, так что всё, что потенциально нужно — уже в крипте). Собрал EoIP-туннель, добавил его в бридж вместе с ether1 на домашнем конце, и на удалённом Mikrotik сделал бридж с портами для HDHR. Настроил — HDHR, подключённый к удалённому Mikrotik, получает IP от DHCP домашнего Mikrotik, страницы HDHR в браузере открываются с IP из LAN — всё выглядит многообещающе, но пока не идеально: автодетект в Jellyfin не срабатывает, и при просмотре 1080p видео постоянно подвисает, хотя на меньших разрешениях всё пашет отлично. При этом трафик в пределах норм для 720p и 1080p, ограничения по пропускной способности исключаю.

Странность в том, что некоторые сайты дома перестали нормально работать. Три конкретных примера: bankofamerica.com, yahoo.com и duckduckgo.com. Если убрать интерфейс EoIP из бриджа дома — всё начинает работать как часы, остальные сайты, которые я тестировал, тоже норм (хотя некоторые грузятся чуть медленнее, но у меня нет точных данных). Другие домочадцы отмечали, что «интернет как-то странно себя ведёт», но деталей не смогли дать. Убрал EoIP из бриджа — сразу всё вернулось на круги своя.

Первым делом мне подумалось, что это может быть проблема с MTU. Такое ощущение, что большие пакеты не проходят (особенно странные заикания потока 1080p через EoIP — думаю, отбрасывается пакет, превышающий MTU). Раньше уже боролся с подобными проблемами, и это очень на MTU похоже, но могу ошибаться. В любом случае провёл кучу тестов, сосредоточившись на MTU. Заметил, что у интерфейса EoIP реальный MTU — 1378. В бридже MTU разное: Actual MTU меняется на 1378, когда туннель EoIP включён в бридж, и возвращается к 1500, когда нет; при этом L2 MTU — 1598. Пробовал вручную ставить MTU 1378 — без изменений.

Дальше пробовал определять MTU вручную через ping с DF (Don't Fragment) и выяснил, что для интернет-трафика MTU ограничен 1420 из-за WireGuard. Забавно, что при MTU 1378 на EoIP я пинганул HDHR с эффективным MTU 1500! И ещё: когда Actual MTU в бридже был 1378 (EoIP включён), MTU до 1.1.1.1 не менялась.

Теперь я в замешательстве. Я совсем не ожидал, что смогу пинговать HDHR с MTU 1500 через EoIP и WireGuard! Особенно учитывая, что через один только WireGuard у меня MTU 1420. Также думал, что сайты по TCP не выставляют флаг DF, пакеты бы фрагментировались и всё бы работало.

Пока не знаю, что дальше делать. Кажется, решение должно быть, а тестовые случаи противоречивы. Есть идеи, как выкрутиться? Раньше я на ubnt gear настраивал VPN с ipsec и openvpn в tap-режиме с MSS clamping и ещё чем-то, чтобы заставить фрагментировать, когда нужно — через это нормально проходили multicast и UDP, которые ловили проблемы с MTU. Не уверен, как аналогично сделать здесь и правильно ли это вообще решение.

Спасибо за помощь!
29.01.2024 23:35:00, JimKusz.]]> http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387688 http://mikrotik.moscow/forum/forum57/84548-vozmozhnye-problemy-s-mtu-vtorogo-urovnya-pri-ispolzovanii-eoip_tunnelya-i-mosta/message387688 Mon, 29 Jan 2024 23:35:00 +0300 RouterOS