[Kamik]

Между двумя микротиками тунель l2tp, поверх eoip

Как только добавляю туннель в локальный бридж, то некоторые сайты не открываются или открываются частично.

Некоторые вполне нормально работают.

Например, amazon.com частично, http://ip-lookup.net/ - вообще не открывается, таймаут.

даже если отключить туннели l2tp и eoip на клиенте, проблема на сервере остается.

На клиенте проблема такая же. Стоит только отключить eoip тунель в бридже, все сразу нормализуется.

Как локализовать проблему?

 

конфиг срвера

# sep/14/2016 21:25:26 by RouterOS 6.36.3
# software id = MLKT-C9C4
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
/interface eoip
add !keepalive mac-address=00:00:5E:80:00:0D name=Slava-eoip-tunnel \
   remote-address=10.1.100.7 tunnel-id=7
/ip neighbor discovery
set ether1-gateway discover=no
set ether3 discover=no
set ether4 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set ether11 discover=no
set ether12 discover=no
/ip pool
add name=dhcp ranges=172.16.0.151-172.16.0.254
/interface bridge filter
add action=drop chain=forward comment=\
   "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=udp \
   mac-protocol=ip
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=Slava-eoip-tunnel
/interface l2tp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=172.16.0.1/16 interface=ether2 network=172.16.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-gateway \
   use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=1d
/ip dhcp-server network
add address=172.16.0.0/16 dns-server=172.16.0.100,172.16.0.110 gateway=\
   172.16.0.1 netmask=16
/ip dns
set servers=8.8.8.8,8.8.4.4,4.2.2.2
/ip firewall address-list
add address=172.16.0.0/16 list=safe
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\
   udp
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\
   tcp
add action=drop chain=input comment="drop invalid connections" \
   connection-state=invalid
add action=accept chain=input comment="allow related connections" \
   connection-state=related
add action=accept chain=input comment="allow established connections" \
   connection-state=established
add action=accept chain=input comment="Allow ICMP Ping" protocol=icmp
add action=accept chain=input comment="Allow WinBox safe hosts" \
   connection-state=new dst-port=8291 protocol=tcp src-address-list=safe
add action=accept chain=input comment="Allow L2TP Tunnels" dst-port=1701 \
   protocol=udp src-address-list="my gateways"
add action=accept chain=input in-interface=!ether1-gateway
add action=drop chain=input comment="drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat disabled=yes dst-port=5900 protocol=tcp \
   to-addresses=172.16.0.250 to-ports=5900
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh address=172.16.0.0/16
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=10.1.10.7 name=slava password=xxxxxxx remote-address=\
   10.1.100.7 service=l2tp

 

клиент

/interface bridge
add name=bridge2
/interface l2tp-client
add connect-to=XXXXXXX disabled=no mrru=1600 name=l2tp-out1 password=\
   XXXXXXXXX user=slava
/interface eoip
add !keepalive mac-address=00:00:5E:80:00:0E name=eoip-tunnel1 \
   remote-address=10.1.10.7 tunnel-id=7
/ip pool
add name=dhcp ranges=172.16.11.3-172.16.11.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1
/interface bridge filter
add action=drop chain=forward comment=\
   "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \
   mac-protocol=ip
/interface bridge port
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
add bridge=bridge2 interface=wlan1
add bridge=bridge2 interface=wlan2
add bridge=bridge2 disabled=yes interface=ether1
add bridge=bridge2 interface=eoip-tunnel1
/ip address
add address=172.16.11.1/16 interface=ether2 network=172.16.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Изменено 14 сентября, 2016 пользователем Kamik

[straus]

MTU?

[nkusnetsov]

Kamik, а зачем вы собираете через EoIP разные L3-подсети? Роутинг вас не спасает?

"Зачем же так убиваться, вы же так не убьётесь" (с) не мой.

У вас бридж вообще без адреса? Занятно.

Изменено 15 сентября, 2016 пользователем nkusnetsov

[Kamik]

MTU?

пробовал 1300 ставить, не помогло. Пинги то проходят, а вот полностью сайт не подгружает.

[Kamik]

Kamik, а зачем вы собираете через EoIP разные L3-подсети? Роутинг вас не спасает?

почему разные? все находятся в 172.16.0.0/16

У вас бридж вообще без адреса? Занятно.

без какого адреса? если имеется ввиду мак, то он становится таким же как и у eoip туннеля, после добавления его в бридж.

Изменено 15 сентября, 2016 пользователем Kamik

[DRiVen]

без какого адреса?

Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2.

 

P.S>Если не секрет - вам зачем этот геморрой с общим l2? На виндах без АД обозревателем пользоваться?

[Kamik]

P.S>Если не секрет - вам зачем этот геморрой с общим l2? На виндах без АД обозревателем пользоваться?

в сети будет два AD, RDS и общие каталоги.

Не, ну в принципе можно и через роутинг, но думал, если есть фича, почему бы не использовать. Толщины канала хватает в принципе для броадкаста.

Ну а каких тогда случаях eoip необходим?

Изменено 16 сентября, 2016 пользователем Kamik

[Kamik]

без какого адреса?

Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2.

 

/ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                
0   172.16.0.1/16      172.16.0.0      bridge1

ну так тоже, собственно, проблема остается

[EugeneTV]

не очень понятно что это на клиенте:

...
/ip dhcp-server network
add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16
...

и непонятно каким образом получает адрес ether1 на клиенте. До кучи, у вас два dhcp-сервера на одной l2 подсети, клиентский на первый взгляд настроен неправильно.

[Kamik]

не очень понятно что это на клиенте:

...
/ip dhcp-server network
add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16
...

и непонятно каким образом получает адрес ether1 на клиенте. До кучи, у вас два dhcp-сервера на одной l2 подсети, клиентский на первый взгляд настроен неправильно.

ну, да, я тут просто клиента тестового подцепил, чтобы не ломать на рабочем рутере.

должно быть add address=172.16.0.0/16 gateway=172.16.11.1

ether1 - за натом, получает ИП через DHCP

Flags: X - disabled, I - invalid 
#   INTERFACE    USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS        ADDRESS           
0   ether1       yes          yes               bound         192.168.1.66/24

 

 

DHCP запросы между сетями блокируются фильтром в бридже.

 

/interface bridge filter
add action=drop chain=forward comment=\
   "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \
   mac-protocol=ip

 

если клиента вообще отключить, то есть туннели не активны на головном, то проблема все равно существует.

то есть клиент вообще не играет роли.

Изменено 16 сентября, 2016 пользователем Kamik

[Kamik]

вот простейшая кофигурация, после сброса рутера

точно такая же проблема.

Может профи покажут рабочую конфу с eoip over l2tp?

 

# jan/02/1970 00:20:56 by RouterOS 6.34.3
# software id = 8PMD-3ELB
#
/interface bridge
add name=bridge1
/interface eoip
add !keepalive mac-address=02:AD:69:37:F2:63 name=eoip-tunnel1 \
   remote-address=10.1.10.55 tunnel-id=0
/ip pool
add name=dhcp ranges=192.168.0.2-192.168.0.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
add bridge=bridge1 interface=eoip-tunnel1
/interface l2tp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1 use-peer-dns=\
   no
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ppp secret
add local-address=10.1.100.55 name=ppp1 remote-address=10.1.10.55 service=\
   l2tp
/system routerboard settings
set protected-routerboot=disabled

[DRiVen]

Может профи покажут рабочую конфу с eoip over l2tp?

Это для вас сделает вендор. С чего вы взяли, что eoip - это ppp-протокол и secret для него рисуете?

И кстати,

/interface bridge filter ... dst-port=67 ip-protocol=tcp ...

Почему tcp, если фильтруете dhcp?

[Kamik]

Это для вас сделает вендор.

так надо было закрыть форум и повесить объявление, чтобы все шли к вендору

С чего вы взяли, что eoip - это ppp-протокол и secret для него рисуете?

вообще-то это для l2tp

И кстати,

Почему tcp, если фильтруете dhcp?

как я выше написал - независимо от того, есть клиент или нету, сути проблемы не меняет. тем более, что в конфиге рабочего рутера стоит udp.

просто попробуйте сделать eoip over l2tp и открыть http://ip-lookup.net/.

Изменено 16 сентября, 2016 пользователем Kamik

[EShirokiy]

Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему.

[Kamik]

Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему.

Спасибо, все таки проблема была с MTU.

Увеличение на eoip туннеле до 1500 решило проблему.

[SUrov_IBM]

Kamik, доброго времени суток.

 

Как уже выше написали коллеги по цеху, ситуация с частичной недоступностью ресурсов (сайтов),

обычно вызвана «низким» MTU тоннелей (VPN сетей).

 

Что бы избежать подобной ситуации, можно попробовать один из вариантов:

 

1. Принудительно увеличить MTU на обоих интерфейсах тоннеля (VPN сети) до 1500.

Возможны «подводные камни» данного способа:

1.1. Невозможность применения такой величины MTU (1500), на данном типе интерфейса.

1.2. Высокая загрузка маршрутизатора и как следствия падение скорости в тоннеле (VPN сети).

 

2. Выявление максимально допустимого значения MTU пропускаемого через тоннель (VPN сеть),

с последующим указанием значения MSS (Maximum segment size) для TCP пакетов.

Если брать значение MSS «грубо», то оно должно быть на 40 «попугаев» меньше значения MTU

«проходящего» через тоннель (VPN сеть). Т.е. «MTU тоннеля – 40 = MSS».

 

3. Использовать вместо L2TP другой тип тоннеля (VPN сети), например OpenVPN.

Данный способ имеет «подводные камни» аналогичные пункту 1.2.

 

 

К сожалению (или к счастью), с Mikrotik я не работаю и не смогу подсказать точную настройку,

на данном оборудовании.

 

Вариант с уменьшением MSS по отношению к MTU в тоннеле, помогал мне разрешить описанную Вами проблему,

на разнородном оборудовании.

[SUrov_IBM]

Kamik, на всех работающих интерфейсах поднимите MTU до 1500 или выше вручную. Запустите между интерфейчас dont fragment ping с MTU 1500 и ищите проблему.

Спасибо, все таки проблема была с MTU.

Увеличение на eoip туннеле до 1500 решило проблему.

Kamik,

 

Извините, не заметил Ваше сообщение об успешном решении проблемы (страница была не обновлена).

Рад, что получилось!

 

Возможно, кому то мой пост может пригодиться. :)

[Kamik]

SUrov_IBM, огромное спасибо за развернутый ответ!

[semarbn]

В 17.09.2016 в 19:55, Kamik сказал:

Спасибо, все таки проблема была с MTU.

Увеличение на eoip туннеле до 1500 решило проблему.

Спасибо большое! Тоже была такая проблема. Щас в eoip есть ipsec и я делал без l2tp тунеля. Пока читал, увидел посты умных людей, которые критикуют и посылают читать маны вместо совета.