[quasto]

Всем привет. Прошу помощи сообщества.

Есть центральный офис, белый ip. Так же есть 2 удаленных филиала, тоже с белыми ip. Между центральным офисом и доп. офисом настроен site-to-site IPSEC. Настроен по мануалу с сайта микротика. Тоннель поднимается, все хорошо работает, пакеты бегают. И так это все хозяйство работает n-ннацать лет. Но случилась беда: клиенты в доп. офисах перестали получать почту с сервера, который установлен в центральном офисе. Точнее если быть то: маленькие по объему письма без вложений получают, если письмо с вложением то не могут получить. Почтовый клиент у всех Thunderbird от Mozilla. При дебаге на почтовом сервере вылазиет следующее:

клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6c62 (correct), seq 0, ack 867503, win 65535, length 0
15:29:36.766816 IP (tos 0x0, ttl 126, id 19882, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 870315, win 65535, length 0
15:29:36.766819 IP (tos 0x0, ttl 126, id 19883, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x6166 (correct), seq 0, ack 871721, win 64129, length 0
15:29:36.974965 IP (tos 0x0, ttl 126, id 19891, offset 0, flags [DF], proto TCP (6), length 40)
   клиент.4499 > почтовый сервер.110: Flags [.], cksum 0x566a (correct), seq 0, ack 873127, win 65535, length 0
15:29:36.974983 IP (tos 0x0, ttl 64, id 26299, offset 0, flags [DF], proto TCP (6), length 19724)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x8aa9 (incorrect -> 0x56c7), seq 918119:937803, ack 0, win 14600, length 19684
15:29:37.620474 IP (tos 0x0, ttl 64, id 26313, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:38.917139 IP (tos 0x0, ttl 64, id 26314, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:41.510552 IP (tos 0x0, ttl 64, id 26315, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:46.697088 IP (tos 0x0, ttl 64, id 26316, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:29:57.083847 IP (tos 0x0, ttl 64, id 26317, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406
15:30:17.830490 IP (tos 0x0, ttl 64, id 26318, offset 0, flags [DF], proto TCP (6), length 1446)
   почтовый сервер.110 > клиент.4499: Flags [.], cksum 0x4343 (incorrect -> 0x14c2), seq 873127:874533, ack 0, win 14600, length 1406

 

Так же при копировании больших файлов более 10мб с виндовой шары в доп. офисах происходит обрыв с сообщением "Сетевой ресурс не доступен".

 

1. Сначала грешил на mtu на микротиках, игрался с этим параметром на стороне клиента, не помогло.

2. Так же отключал на почтовом сервере и на клиентской сетевухе проверку cksum, не помогло.

 

Все микротики с обновленной прошивкой. Может у кого есть соображения что можно еще попробывать?

Ах да, забыл сказать использую RB750.

[pppoetest]

IPSEC устаревшая технология.

[quasto]

IPSEC устаревшая технология.

 

Альтернативу не подскажите?

[vurd]

Альтернатива это l2tp-тунели и ospf на всех интерфейсах.

[Mindaugas]

PPTP

[YuryD]

В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай..

Или букварь по IP опыть читать кому-то. Если често - надоело...

[Saab95]

Вам надо в центральном офисе настроить L2TP сервер, создать учетки для удаленных офисов. Они устанавливают туннели, включаете поверх OSPF и забываете о существовании любых проблем.

 

Потому что:

 

IPSEC устаревшая технология.

[pppoetest]

Если что это был сарказм.

[quasto]

В в пакетах флаг DF, отсюда крутить на клиентах или в мокротике. Нахрена бит DF в TCP ? не умеете интерпретировать - нах такое железо, не микрософт чай..

Или букварь по IP опыть читать кому-то. Если често - надоело...

 

Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс.

[Night_Snake]

Благодарю за наводку. В фаерволе выставил clear DF на двух сторонах и чудесным образом все заработало. Вопрос тока, почему раньше все работало? Никаких изменений в конфигурации или обновлении софта не было. Причем интересно, есть еще два удаленных офиса с такими же настройками и у них все збс.

Где-то по пути оператор решил поиграться с настройками-туннелями и порезал MTU.