[Busla]

Цитата Опиум:

это просто протокол инкапсуляции... »

в современных реалиях обвешанный опциями и расширениями. GRE может нести в себе принадлежность к сесии, и AFAIK сейчас в основном так и используется

А в том исходном смысле простой инкапсуляции, его сейчас никто не использует, т.к. VLAN (придуманный позже) эффективнее

[Опиум]

Цитата Busla:

в современных реалиях обвешанный опциями и расширениями. GRE может нести в себе принадлежность к сесии, »

не хило бы подкрепить свои слова цитатой из RFC

Цитата Busla:

VLAN (придуманный позже) эффективнее »

VLAN тут не о чем. Он работает на другом уровне OSI. Туннель GRE я могу организовать без поддержки провайдером.

Цитата freese:

уже рядышком ваше /ip firewall filter add chain=input connection-state=established ... блаблабла »

а рядышком, это выше или ниже?
а то цисковское эстаблишед можно ставить в самый верх ACL, не волнуясь, что через него гадость пролезет, а микротиковское эстаблишед этого не гарантирует.

[Busla]

Цитата Опиум:

не хило бы подкрепить свои слова цитатой из RFC »

не хило бы самому смотреть документацию. если так уже интересует вопрос

RFC 1701:

Цитата:

Key (4 octets) The Key field contains a four octet number which was inserted by the encapsulator. It may be used by the receiver to authenticate the source of the packet. The techniques for determining authenticity are outside of the scope of this document. The Key field is only present if the Key Present field is set to 1. Sequence Number (4 octets) The Sequence Number field contains an unsigned 32 bit integer which is inserted by the encapsulator. It may be used by the receiver to establish the order in which packets have been transmitted from the encapsulator to the receiver. The exact algorithms for the generation of the Sequence Number and the semantics of their reception is outside of the scope of this document.

Ну и RFC 2890 говорит о том, что не стоит это дело использовать само по себе:

Цитата:

Security Considerations This document describes extensions by which two fields, Key and Sequence Number, can be optionally carried in the GRE (Generic Routing Encapsulation) Header [1]. When using the Sequence number field, it is possible to inject packets with an arbitrary Sequence number and launch a Denial of Service attack. In order to protect against such attacks, IP security protocols [4] MUST be used to protect the GRE header and the tunneled payload. Either ESP (Encapsulating Security Payload) [5] or AH (Authentication Header)[6] MUST be used to protect the GRE header. If ESP is used it protects the IP payload which includes the GRE header. If AH is used the entire packet other than the mutable fields are authenticated. Note that Key field is not involved in any sort or security (despite its name).

[Опиум]

Цитата Busla:
The Sequence Number field contains an unsigned 32 bit integer which is inserted by the encapsulator. It may be used by the receiver to establish the order in which packets have been transmitted from the encapsulator to the receiver. »
это единственное что заслуживает внимания, однако смущает "may be".
Проверка установленности соединения GRE имхо можно задать только включив Keepalive на интерефейсах, ибо без него даже ошибочно настроенные концы туннеля (интерфейсы) становятся UP, как будто "соединение установлено".

И второе, GRE тут просто для примера, с которым я столкнулся. А что ты скажешь за UDP, который по микротику тоже может быть "эстаблишед"?)

как пример, UDP514, где между клиентом и syslog-сервером может быть микротик.