Jump to content

Mikrotik, IPSEC, cksum

quasto
 Share

Recommended Posts

quasto

quasto

Posted
Posted

Всем привет. Прошу помощи сообщества.

Есть центральный офис, белый ip. Так же есть 2 удаленных филиала, тоже с белыми ip. Между центральным офисом и доп. офисом настроен site-to-site IPSEC. Настроен по мануалу с сайта микротика. Тоннель поднимается, все хорошо работает, пакеты бегают. И так это все хозяйство работает n-ннацать лет. Но случилась беда: клиенты в доп. офисах перестали получать почту с сервера, который установлен в центральном офисе. Точнее если быть то: маленькие по объему письма без вложений получают, если письмо с вложением то не могут получить. Почтовый клиент у всех Thunderbird от Mozilla. При дебаге на почтовом сервере вылазиет следующее:

клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6c62 (correct), seq 0, ack 867503, win 65535, length 0
15:29:36.766816 IP (tos 0x0, ttl 126, id 19882, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 870315, win 65535, length 0
15:29:36.766819 IP (tos 0x0, ttl 126, id 19883, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 871721, win 64129, length 0
15:29:36.974965 IP (tos 0x0, ttl 126, id 19891, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x566a (correct), seq 0, ack 873127, win 65535, length 0
15:29:36.974983 IP (tos 0x0, ttl 64, id 26299, offset 0, flags [DF], proto TCP (6), length 19724)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x8aa9 (incorrect -> 0x56c7), seq 918119:937803, ack 0, win 14600, length 19684
15:29:37.620474 IP (tos 0x0, ttl 64, id 26313, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:38.917139 IP (tos 0x0, ttl 64, id 26314, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:41.510552 IP (tos 0x0, ttl 64, id 26315, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:46.697088 IP (tos 0x0, ttl 64, id 26316, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:57.083847 IP (tos 0x0, ttl 64, id 26317, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:30:17.830490 IP (tos 0x0, ttl 64, id 26318, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406

 

Так же при копировании больших файлов более 10мб с виндовой шары в доп. офисах происходит обрыв с сообщением "Сетевой ресурс не доступен".

 

1. Сначала грешил на mtu на микротиках, игрался с этим параметром на стороне клиента, не помогло.

2. Так же отключал на почтовом сервере и на клиентской сетевухе проверку cksum, не помогло.

 

Все микротики с обновленной прошивкой. Может у кого есть соображения что можно еще попробывать?

Ах да, забыл сказать использую RB750.

YuryD

YuryD

Posted
Posted

В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай..

Или букварь по IP опыть читать кому-то. Если често - надоело...

Saab95

Saab95

Posted
Posted

Вам надо в центральном офисе настроить L2TP сервер, создать учетки для удаленных офисов. Они устанавливают туннели, включаете поверх OSPF и забываете о существовании любых проблем.

 

Потому что:

 

IPSEC устаревшая технология.

quasto

quasto

Posted
  • Author
Posted

В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай..

Или букварь по IP опыть читать кому-то. Если често - надоело...

 

Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс.

Night_Snake

Night_Snake

Posted
Posted

Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс.

Где-то по пути оператор решил поиграться с настройками-туннелями и порезал MTU.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.