quasto Posted October 21, 2015 · Report post Всем привет. Прошу помощи сообщества. Есть центральный офис, белый ip. Так же есть 2 удаленных филиала, тоже с белыми ip. Между центральным офисом и доп. офисом настроен site-to-site IPSEC. Настроен по мануалу с сайта микротика. Тоннель поднимается, все хорошо работает, пакеты бегают. И так это все хозяйство работает n-ннацать лет. Но случилась беда: клиенты в доп. офисах перестали получать почту с сервера, который установлен в центральном офисе. Точнее если быть то: маленькие по объему письма без вложений получают, если письмо с вложением то не могут получить. Почтовый клиент у всех Thunderbird от Mozilla. При дебаге на почтовом сервере вылазиет следующее: клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6c62 (correct), seq 0, ack 867503, win 65535, length 0 15:29:36.766816 IP (tos 0x0, ttl 126, id 19882, offset 0, flags [DF], proto TCP (6), length 40) клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 870315, win 65535, length 0 15:29:36.766819 IP (tos 0x0, ttl 126, id 19883, offset 0, flags [DF], proto TCP (6), length 40) клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 871721, win 64129, length 0 15:29:36.974965 IP (tos 0x0, ttl 126, id 19891, offset 0, flags [DF], proto TCP (6), length 40) клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x566a (correct), seq 0, ack 873127, win 65535, length 0 15:29:36.974983 IP (tos 0x0, ttl 64, id 26299, offset 0, flags [DF], proto TCP (6), length 19724) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x8aa9 (incorrect -> 0x56c7), seq 918119:937803, ack 0, win 14600, length 19684 15:29:37.620474 IP (tos 0x0, ttl 64, id 26313, offset 0, flags [DF], proto TCP (6), length 1446) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406 15:29:38.917139 IP (tos 0x0, ttl 64, id 26314, offset 0, flags [DF], proto TCP (6), length 1446) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406 15:29:41.510552 IP (tos 0x0, ttl 64, id 26315, offset 0, flags [DF], proto TCP (6), length 1446) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406 15:29:46.697088 IP (tos 0x0, ttl 64, id 26316, offset 0, flags [DF], proto TCP (6), length 1446) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406 15:29:57.083847 IP (tos 0x0, ttl 64, id 26317, offset 0, flags [DF], proto TCP (6), length 1446) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406 15:30:17.830490 IP (tos 0x0, ttl 64, id 26318, offset 0, flags [DF], proto TCP (6), length 1446) почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406 Так же при копировании больших файлов более 10мб с виндовой шары в доп. офисах происходит обрыв с сообщением "Сетевой ресурс не доступен". 1. Сначала грешил на mtu на микротиках, игрался с этим параметром на стороне клиента, не помогло. 2. Так же отключал на почтовом сервере и на клиентской сетевухе проверку cksum, не помогло. Все микротики с обновленной прошивкой. Может у кого есть соображения что можно еще попробывать? Ах да, забыл сказать использую RB750. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 21, 2015 · Report post IPSEC устаревшая технология. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
quasto Posted October 21, 2015 · Report post IPSEC устаревшая технология. Альтернативу не подскажите? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 21, 2015 · Report post Альтернатива это l2tp-тунели и ospf на всех интерфейсах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mindaugas Posted October 21, 2015 · Report post PPTP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted October 21, 2015 · Report post В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай.. Или букварь по IP опыть читать кому-то. Если често - надоело... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 22, 2015 · Report post Вам надо в центральном офисе настроить L2TP сервер, создать учетки для удаленных офисов. Они устанавливают туннели, включаете поверх OSPF и забываете о существовании любых проблем. Потому что: IPSEC устаревшая технология. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 22, 2015 · Report post Если что это был сарказм. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
quasto Posted October 22, 2015 · Report post В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай.. Или букварь по IP опыть читать кому-то. Если често - надоело... Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted October 23, 2015 · Report post Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс. Где-то по пути оператор решил поиграться с настройками-туннелями и порезал MTU. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...