Ahoj, řeším takovou podivnost, na kterou jsem dostal jen částečnou odpověď na fóru Mikrotiku. Udělal jsem EoIP tunel s IPSec mezi dvěma místy. EoIP zcela záměrně kvůli možnosti posílat VLANy mezi těmi místy, IPSec kvůli hw akceleraci a celkově je to strašně jednoduchý na nastavení. Prostě super až na jednu věc.
Očividně je problém s nastavením MTU, téměř všechno funguje až na vCenter, který má problém vidět ESXi na druhé straně, jenže se to chová ještě zvláštněji, občas se ty servery připojí, občas ne. Nepomohlo nikde cestou snížit MTU, musel jsem ho zmenšit až přímo na ethernetu ve vCenteru. Zkusil jsem i ručně udělat mangle pravidlo na zmenšení MTU a ani to nepomohlo a to jsem zkoušel i MTU 1300 a 1200. Nejzvláštnější na tom je to, že cestou to u všech ostatních služeb včetně HTTPS zvládne fragmentovat správně packety a pak je zase složit, dokonce i ping se zakázanou fragmentací funguje správně.
Než jsem to předělával (výměna routeru), tak jsem to měl naopak, ručně IPSec a nad tím EoIP a všechno fungovalo normálně.
Na fóru Mikrotiku jsem se dozvěděl, že když je EoIP v bridge a pošlu přes něho VLANy, tak už neumí správně spočítat MTU, ale nefunguje to správně ani když si sítě jenom routuju. Navíc mě doporučili pokud možno nepoužívat EoIP, že má zbytečně velkou spotřebu bajtů v packetu, že je lepší GRE nebo IPIP a EoIP pouze jako diagnostiku, když se člověk potřebuje dostat přímo do sítě.
Chystám se to znovu předělat na variantu IPSec + GRE, ale třeba mi tu někdo dokáže poradit, co je teď blbě a třeba to ještě nějakou změnou konfigurace půjde napravit.
Předem díky za rady a tipy, co případně ještě zkusit, než to znovu předělám.
