Всем привет, используете ли вы микротики в своей работе?
Мы вот пытаемся и наступаем на грабли, хочу посоветоваться с вами по поводу ниже описанных нюансов работы.
Также походу работы у нас возникают пожелания, которые я тут ниже перечислил.
Может кто-то встречался и решал их уже или возможно у кого-то появятся мысли, как можно сделать так, чтобы обойти те или иные грабли или реализовать то или иное пожелание?
Заранее спасибо за ответы.
I IPsec.
1. Нестабильная работа IPsec Микротик-Микротик.
Настроенный между двумя Микротиками IPsec туннель переинициализируется после сброса командой flush за плавающее время, от нескольких секунд до 10 минут.
Хочется, чтобы повторяемость и предсказуемость была выше. Замечено также, что далеко не со всеми настройками IPsec работает.
Если бы Микротик опубликовал рекомендуемые настройки для IPsec, это было бы замечательно.
Мы пробовали так:
Phase1 exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1h lifebytes=0
Phase2 enc-algorithms=aes-128, auth-algorithms=sha-1, lifetime=30m, pfs-group=modp1024
DPD 10 sec 3 fail.
2. Нестабильная работа IPsec Микротик-Cisco.
Если туннель строится между Микротиком и Cisco, надёжность ещё меньше.
Было бы желательно получить рекомендацию от Микротика, как настраивать туннель с Cisco, с указанием рабочих конфигов обеих сторон.
3. Управление IPsec.
В текущей реализации, нет возможности сброса отдельных IPsec туннелей, только всех разом.
Очень желательно получить возможность сброса отдельных туннелей.
4. Мониторинг IPsec по SNMP.
Нет возможности по SNMP узнавать состояние туннеля и трафик в нём.
5. Отладка, см. вопрос II
II Отладка.
Нам не хватает средств отладки. Например, режима debug, в котором бы Микротик выдавал в логах расширенную диагностику.
Конкретно не хватает диагностики работы IPsec в целом, UserManager, Radius Server и Client.
III Создание пользователей.
Желательно иметь возможность создавать пользователей, не зная их пароли, но зная хэши.
Например, в Linux и Cisco такая возможность есть.
В текущей реализации необходимо указывать пароль в открытую, и команда добавления пользователя с паролем доступна в истории ввода команд, что совсем нехорошо.