Eoip в mikrotik, світ без редмонскіх вікон

Головне, що потрібно пам'ятати:
1. EoIP не працює через NAT. IP обох сторін повинні бути маршрутизациї
2. EoIP використовує GRE в якості транспорту, так що потрібно стежити за MTU.
3. Кожному l2-каналу, який ви хочете прокинути за допомогою eoip, повинен відповідати свій тунель. Один ВЛАН - один eoip-інтерфейс.
4. Tunnel-id повинен збігатися на обох кінцях тунелю і бути унікальним в рамках одного пристрою (використання двох eoip-тунелів з один tunnel-id, але різними сусідніми точками неприпустимо).

[Admin @ MikroTik]> interface eoip add name = "eoip10" tunnel-id = 10 remote-address = 10.0.0.2 disable = no
[Admin @ MikroTik]> interface bridge add name = "bridge10"
[Admin @ MikroTik]> interface bridge port add interface = "eoip10" bridge = "bridge10"
[Admin @ MikroTik]> interface bridge port add interface = "vlan10" bridge = "bridge10"

Сначла ми створюємо, власне, сам тунель.
Потім створюємо бридж, через який буде ходити наш трафік. Один бридж - один ВЛАН - один тунель.
Ну і додаємо в цей бридж самі інтерфейси - eoip, і другий l2-інтерфейс, який, власне, нам потрібно прокинути через l3.

Аналогічні дії виробляємо на іншій стороні.

Після цього EoIP-тунель можна вважаються найманими працівниками.

«3. Кожному l2-каналу, який ви хочете прокинути за допомогою eoip, повинен відповідати свій тунель. Один ВЛАН - один eoip-інтерфейс. »
Нічого подібного! Для будь-якої кількості vlan'ов можна використовувати всього один EoIP тонель, просто по обидва боки створюємо Вланєв на інтерфейсі EoIP і ці Вланєв бріджуем вже з Вланєв які приходять з локальної мережі на мікротік. Або ще один варіант. Весь EoIP бріджуем з фізичним інтерфейсом на мікротіке і відповідно всі Вланєв (весь L2 трафік) буде йти в наскрізну на фізичний інтерфейс, а там вже ліюо керований свитч або Линух сервер.

Дійсно, можна робити Вланєв на самому eoip і з'єднувати їх бриджами - мені це якось в голову не прийшло.
Що стосується просто бріджеванія eoip і фізичного інтерефейса, то, по-перше, не завжди потрібно саме це, а по-друге я пару раз стикався з проблемами з такими конфігураціями - наприклад, якщо у вас на цьому ж порту / бриджі висить управління.

/ Ip firewall filter
add chain = input protocol = gre action = accept