Jump to content
Калькуляторы

Mikrotik, IPSEC, cksum

Всем привет. Прошу помощи сообщества.

Есть центральный офис, белый ip. Так же есть 2 удаленных филиала, тоже с белыми ip. Между центральным офисом и доп. офисом настроен site-to-site IPSEC. Настроен по мануалу с сайта микротика. Тоннель поднимается, все хорошо работает, пакеты бегают. И так это все хозяйство работает n-ннацать лет. Но случилась беда: клиенты в доп. офисах перестали получать почту с сервера, который установлен в центральном офисе. Точнее если быть то: маленькие по объему письма без вложений получают, если письмо с вложением то не могут получить. Почтовый клиент у всех Thunderbird от Mozilla. При дебаге на почтовом сервере вылазиет следующее:

клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6c62 (correct), seq 0, ack 867503, win 65535, length 0
15:29:36.766816 IP (tos 0x0, ttl 126, id 19882, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 870315, win 65535, length 0
15:29:36.766819 IP (tos 0x0, ttl 126, id 19883, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 871721, win 64129, length 0
15:29:36.974965 IP (tos 0x0, ttl 126, id 19891, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x566a (correct), seq 0, ack 873127, win 65535, length 0
15:29:36.974983 IP (tos 0x0, ttl 64, id 26299, offset 0, flags [DF], proto TCP (6), length 19724)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x8aa9 (incorrect -> 0x56c7), seq 918119:937803, ack 0, win 14600, length 19684
15:29:37.620474 IP (tos 0x0, ttl 64, id 26313, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:38.917139 IP (tos 0x0, ttl 64, id 26314, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:41.510552 IP (tos 0x0, ttl 64, id 26315, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:46.697088 IP (tos 0x0, ttl 64, id 26316, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:57.083847 IP (tos 0x0, ttl 64, id 26317, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:30:17.830490 IP (tos 0x0, ttl 64, id 26318, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406

 

Так же при копировании больших файлов более 10мб с виндовой шары в доп. офисах происходит обрыв с сообщением "Сетевой ресурс не доступен".

 

1. Сначала грешил на mtu на микротиках, игрался с этим параметром на стороне клиента, не помогло.

2. Так же отключал на почтовом сервере и на клиентской сетевухе проверку cksum, не помогло.

 

Все микротики с обновленной прошивкой. Может у кого есть соображения что можно еще попробывать?

Ах да, забыл сказать использую RB750.

Share this post


Link to post
Share on other sites

IPSEC устаревшая технология.

 

Альтернативу не подскажите?

Share this post


Link to post
Share on other sites

Альтернатива это l2tp-тунели и ospf на всех интерфейсах.

Share this post


Link to post
Share on other sites

В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай..

Или букварь по IP опыть читать кому-то. Если често - надоело...

Share this post


Link to post
Share on other sites

Вам надо в центральном офисе настроить L2TP сервер, создать учетки для удаленных офисов. Они устанавливают туннели, включаете поверх OSPF и забываете о существовании любых проблем.

 

Потому что:

 

IPSEC устаревшая технология.

Share this post


Link to post
Share on other sites

В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай..

Или букварь по IP опыть читать кому-то. Если често - надоело...

 

Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс.

Share this post


Link to post
Share on other sites

Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс.

Где-то по пути оператор решил поиграться с настройками-туннелями и порезал MTU.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this