Jump to content

Помогите с вопросами по l2tp/IPsec

Yeehoo
 Share

Recommended Posts

Yeehoo

Yeehoo

Posted
Posted

Коллеги, приветствую! Нужна ваша помощь.

Являюсь новичком в микротик, гуглить умею, но банально устал и хочу совета.

Есть головной офис и филиал

Конфиг головного:

/interface bridge
add admin-mac=6C:3B:6B:8D:4C:81 auto-mac=no comment=defconf name=bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
set [ find default-name=ether6 ] name=ether6-master
set [ find default-name=ether7 ] master-port=ether6-master
set [ find default-name=ether8 ] master-port=ether6-master
set [ find default-name=ether9 ] master-port=ether6-master
set [ find default-name=ether10 ] master-port=ether6-master
/ip neighbor discovery
set ether1 discover=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.1.7-192.168.1.250
add name=l2tp-pool ranges=172.16.77.2-172.16.77.62
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=3d10m name=dhcp1
/ppp profile
add change-tcp-mss=yes insert-queue-before=bottom local-address=172.16.77.1 name=l2tp_msk remote-address=l2tp-pool
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf interface=sfp1
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_msk enabled=yes ipsec-secret="****" keepalive-timeout=15 max-mru=1418 max-mtu=1418 use-ipsec=yes
/ip address
add address=192.168.88.1/24 comment=defconf disabled=yes interface=ether2-master network=192.168.88.0
add address=Головной_офис_WAN_IP/30 interface=ether1 network=***
add address=192.168.1.1/24 interface=ether2-master network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=DNS_ISP,8.8.8.8
/ip dns static
add address=192.168.1.250 name=Почтарь
add address=192.168.1.1 name=router
add address=192.168.1.202 disabled=yes name=терминалка
/ip firewall address-list
add address=118.69.194.0/24 list=HACKERS
add address=91.200.12.0/24 list=HACKERS
add address=96.92.78.0/24 list=HACKERS
add address=115.127.82.0/24 list=HACKERS
add address=5.101.142.0/24 list=HACKERS
add address=46.183.219.0/24 list=HACKERS
add address=41.216.208.0/24 list=HACKERS
add address=211.11.70.0/24 list=HACKERS
add address=89.248.174.0/24 list=HACKERS
add address=71.40.123.0/24 list=HACKERS
add address=195.22.126.0/24 list=HACKERS
add address=50.58.76.0/24 list=HACKERS
add address=95.158.167.0/24 list=HACKERS
add address=155.133.82.0/24 list=HACKERS
add address=155.133.24.0/24 list=HACKERS
add address=113.161.186.0/24 list=HACKERS
add address=45.63.13.0/24 list=HACKERS
/ip firewall filter
add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=forward comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions
add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=input comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions
add action=add-src-to-address-list address-list=Suspected_list address-list-timeout=1h chain=forward comment=--Suspected_list-- dst-port=RDP Порт терминалки,RDP Порт почтаря,110,143 log=yes log-prefix=--Suspected_list-- \
   protocol=tcp
add action=add-src-to-address-list address-list=Suspected_list address-list-timeout=1h chain=input comment=--Suspected_list-- dst-port=RDP Порт терминалки,RDP Порт почтаря,110,143 log=yes log-prefix=--Suspected_list-- \
   protocol=tcp
add action=add-src-to-address-list address-list=~~~~~~Winbox~~~~~~ address-list-timeout=1h chain=input comment=~~~~~~Winbox~~~~~~ dst-address=Головной_офис_WAN_IP dst-port=8291 log=yes log-prefix=\
   ~~~~~~Winbox~~~~~~ protocol=tcp
add action=drop chain=forward comment="drop brute forcers" log=yes log-prefix=~~~HACKERS~~~ src-address-list=HACKERS
add action=drop chain=input comment="drop brute forcers" log=yes log-prefix=~~~HACKERS~~~ src-address-list=HACKERS
add action=drop chain=input comment="drop incoming DNS requests" dst-port=53 in-interface=ether1 log=yes log-prefix=INC_DNS_REQ protocol=udp
add action=drop chain=input comment="drop incoming DNS requests" dst-port=53 in-interface=ether1 log=yes log-prefix=INC_DNS_REQ protocol=tcp
add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=input comment=" --- 22,21,23 ATTEMPT --- " dst-port=21,22,23 fragment=no log=yes log-prefix=\
   " --- 22,21,23 ATTEMPT --- " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=forward comment=" --- 22,21,23 ATTEMPT --- " dst-port=21,22,23 fragment=no log=yes log-prefix=\
   " --- 22,21,23 ATTEMPT --- " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=input comment=" --- 22,21,23 ATTEMPT --- " dst-port=23,22,21 log=yes log-prefix=\
   " --- 22,21,23 ATTEMPT --- " protocol=udp
add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=forward comment=" --- 22,21,23 ATTEMPT --- " dst-port=23,22,21 log=yes log-prefix=\
   " --- 22,21,23 ATTEMPT --- " protocol=udp
add action=drop chain=input comment=" --- 22,21,23 ATTEMPT --- " log=yes log-prefix=~~~DROP_21-23~~~ src-address-list=ssh_telnet_ftp
add action=drop chain=forward comment=" --- 22,21,23 ATTEMPT --- " log=yes src-address-list=ssh_telnet_ftp
add action=add-src-to-address-list address-list=RPC_blacklist address-list-timeout=1h chain=input comment="record RPC" dst-port=593,135 log=yes log-prefix=" --- RPC ATTEMPT --- " protocol=tcp
add action=add-src-to-address-list address-list=RDP_blacklist address-list-timeout=5h chain=input comment="record RDP brute forcers" dst-port=3389 log=yes log-prefix=" --- RDP ATTEMPT --- " \
   protocol=tcp
add action=drop chain=input comment=---DROP_3389--- log=yes log-prefix=---DROP_3389--- src-address-list=RDP_blacklist
add action=accept chain=input comment=L2TP dst-port=1701 packet-mark=esp protocol=udp src-address=Филиал_WAN_IP
add action=accept chain=input comment=IPSEC-NAT dst-port=4500 protocol=udp src-address=Филиал_WAN_IP
add action=accept chain=input comment=IPSEC dst-port=500 protocol=udp src-address=Филиал_WAN_IP
add action=accept chain=input comment=IPSEC protocol=ipsec-esp src-address=Филиал_WAN_IP
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN(was7)" in-interface=ether1 log-prefix=----DROP_FROM_WAN---
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log-prefix=INVALID
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=mark-packet chain=input new-packet-mark=esp passthrough=yes protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=dst-nat chain=dstnat comment="NAT for smtp" dst-address=Головной_офис_WAN_IP dst-port=25 protocol=tcp to-addresses=192.168.1.250 to-ports=25
add action=dst-nat chain=dstnat comment="NAT for smtp_ssl" dst-address=Головной_офис_WAN_IP dst-port=465 protocol=tcp to-addresses=192.168.1.250 to-ports=465
add action=dst-nat chain=dstnat comment="NAT for pop" dst-address=Головной_офис_WAN_IP dst-port=110 protocol=tcp to-addresses=192.168.1.250 to-ports=110
add action=dst-nat chain=dstnat comment="NAT for pop_ssl" dst-address=Головной_офис_WAN_IP dst-port=995 protocol=tcp to-addresses=192.168.1.250 to-ports=995
add action=dst-nat chain=dstnat comment="NAT for imap" dst-address=Головной_офис_WAN_IP dst-port=143 protocol=tcp to-addresses=192.168.1.250 to-ports=143
add action=dst-nat chain=dstnat comment="RDP for TS" dst-address=Головной_офис_WAN_IP dst-port=RDP Порт терминалки protocol=tcp to-addresses=192.168.1.202 to-ports=3389
add action=dst-nat chain=dstnat comment="RDP for TSMAD" dst-address=Головной_офис_WAN_IP dst-port=RDP Порт почтаря protocol=tcp to-addresses=192.168.1.250 to-ports=3389
add action=dst-nat chain=dstnat comment="NAT for smtp_2" dst-address=Головной_офис_WAN_IP dst-port=2525 protocol=tcp to-addresses=192.168.1.250 to-ports=25
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip ipsec peer
add address=Филиал_WAN_IP/32 dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 generate-policy=port-strict hash-algorithm=md5 local-address=Головной_офис_WAN_IP nat-traversal=no secret=\
   "****" send-initial-contact=no
/ip route
add distance=1 gateway=GW_ISP
add distance=1 dst-address=192.168.63.0/24 gateway=*F00000
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24,Филиал_WAN_IP/32
set api-ssl disabled=yes
/ip traffic-flow
set active-flow-timeout=1m cache-entries=32k enabled=yes
/ip traffic-flow target
add dst-address=192.168.1.35 port=9996
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2-master type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
/ppp secret
add name=SAM password=ppp_secret profile=l2tp_msk service=l2tp
/routing ospf network
add area=backbone disabled=yes network=192.168.1.0/24
add area=backbone disabled=yes network=192.168.63.0/24
add area=backbone disabled=yes network=172.16.77.0/24
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MSK
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

 

Конфиг филиала

 

/interface bridge
add admin-mac=6C:3B:6B:26:8B:1D auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
set [ find default-name=ether6 ] name=ether6-master
set [ find default-name=ether7 ] master-port=ether6-master
set [ find default-name=ether8 ] master-port=ether6-master
set [ find default-name=ether9 ] master-port=ether6-master
set [ find default-name=ether10 ] master-port=ether6-master
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=SAM
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.63.10-192.168.63.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface l2tp-client
add allow=mschap2 connect-to=Головной_офис_WAN_IP disabled=no ipsec-secret="****" max-mru=1418 max-mtu=1418 name=l2tp-to-msk password=ppp_secret profile=default use-ipsec=yes user=SAM
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf disabled=yes interface=sfp1
/ip address
add address=192.168.63.1/24 comment=defconf interface=ether2-master network=192.168.63.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.63.0/24 comment=defconf gateway=192.168.63.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip firewall filter
add action=add-src-to-address-list address-list=RDP_blacklist address-list-timeout=5h chain=input comment="record RDP brute forcers" dst-port=3389 log=yes log-prefix=" --- RDP ATTEMPT --- " protocol=tcp
add action=drop chain=input comment=---DROP_3389--- log=yes log-prefix=---DROP_3389--- src-address-list=RDP_blacklist
add action=drop chain=input comment="drop incoming DNS requests" dst-port=53 in-interface=ether1 log=yes log-prefix=INC_DNS_REQ protocol=udp
add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=forward comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions
add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=input comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
/ip ipsec peer
add address=Головной_офис_WAN_IP/32 dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 hash-algorithm=md5 local-address=Филиал_WAN_IP nat-traversal=no secret="****"
/ip ipsec policy
add disabled=yes dst-address=Филиал_WAN_IP/32 protocol=udp sa-dst-address=Филиал_WAN_IP sa-src-address=Головной_офис_WAN_IP src-address=Головной_офис_WAN_IP/32
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.77.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.63.0/24,Филиал_WAN_IP/32,Головной_офис_WAN_IP/32
set api-ssl disabled=yes
/routing ospf network
add area=backbone disabled=yes network=192.168.1.0/24
add area=backbone disabled=yes network=192.168.63.0/24
add area=backbone disabled=yes network=172.16.77.0/24
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=SAM
/system logging
add topics=!l2tp,!info,!ipsec
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

 

Вопрос 1: Почему в момент передачи файла тупым копированием с сервера в офисе на рабочий стол филиала загрузка проца в Tools =>Profile 100% (123.jpg), ежели отключить ipsec , то все проходит незаметно для процессора.

Вопрос 2: В общем и целом конфа норм?

Вопрос 3: Как правильно сделать что-бы трафик в туннеле был только на сервер 1-с(терминалка) и на почтарь, а запросы в инет обрабатывал бы местный микротик?

Вопрос 4: Как правильно сделать что-бы был доступ из филиала в сеть офиса по имени(dns сейчас не резолвит, я запутался) Хочу подключать людей к базам SQL через имя а не через IP (беда в том что в консоли управления сервером 1-с сервер назван по имени а не по IP, и соответственно если не добавлять это-же сервер как резервный только по IP, то 1-с не арбайтен т.к. не резолвятся запросы...)

 

 

Заранее благодарю!

post-139847-025598400 1485512964_thumb.jpg

Yeehoo

Yeehoo

Posted
  • Author
Posted (edited)

Еще 1-н вопрос: 

15:37:07 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 
15:37:07 l2tp,ppp,info,account SAM logged out, 50782 793091 32986379 14355 25361 
15:37:07 l2tp,ppp,info <l2tp-SAM>: disconnected 
15:37:26 l2tp,ppp,info,account SAM logged in, 172.16.77.62 
15:37:26 l2tp,ppp,info <l2tp-SAM>: authenticated 
15:37:27 l2tp,ppp,info <l2tp-SAM>: connected 
16:00:02 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 
16:00:02 l2tp,ppp,info,account SAM logged out, 1358 3850 1867 45 12 
16:00:02 l2tp,ppp,info <l2tp-SAM>: disconnected 
16:00:06 l2tp,ppp,info,account SAM logged in, 172.16.77.62 
16:00:06 l2tp,ppp,info <l2tp-SAM>: authenticated 
16:00:06 l2tp,ppp,info <l2tp-SAM>: connected

После этого в IP=>Routes отваливается нижний маршрут(выделение красным, в поле GW=unreachable). Почему это происходит, что делать, где почитать?

Все вышеперечисленное настраивал сам, начитавшись манов в гугле.

P.S. Зарегался сегодня, следующее сообщение смогу не ранее 14-00 завтрашнего дня.

post-139847-064307900 1485526320_thumb.png

Edited by Yeehoo
Nuts

Nuts

Posted
Posted (edited)

Вопрос 1: Почему в момент передачи файла тупым копированием с сервера в офисе на рабочий стол филиала загрузка проца в Tools =>Profile 100% (123.jpg), ежели отключить ipsec , то все проходит незаметно для процессора.

Вопрос 2: В общем и целом конфа норм?

Вопрос 3: Как правильно сделать что-бы трафик в туннеле был только на сервер 1-с(терминалка) и на почтарь, а запросы в инет обрабатывал бы местный микротик?

Вопрос 4: Как правильно сделать что-бы был доступ из филиала в сеть офиса по имени(dns сейчас не резолвит, я запутался) Хочу подключать людей к базам SQL через имя а не через IP (беда в том что в консоли управления сервером 1-с сервер назван по имени а не по IP, и соответственно если не добавлять это-же сервер как резервный только по IP, то 1-с не арбайтен т.к. не резолвятся запросы...)

Заранее благодарю!

1: AES-256 довольно прожорлив по ресурсам, поэтому процессор и нагружается. AES-128 достаточно, если хотите реально шифроваться. Если для галочки, можно 3DES, DES или вообще MPPE128 без IPSec.

2: На головном роутере из пула DHCP не исключены адреса серверов. Ну, и, без полного понимания ваших задач, что-то ещё ответить затруднительно.

3: А сейчас разве не так?

4: Что сейчас выступает в качестве DNS сервера (в головном и филиале)?

 

Еще 1-н вопрос:

 

15:37:07 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 
15:37:07 l2tp,ppp,info,account SAM logged out, 50782 793091 32986379 14355 25361 
15:37:07 l2tp,ppp,info <l2tp-SAM>: disconnected 
15:37:26 l2tp,ppp,info,account SAM logged in, 172.16.77.62 
15:37:26 l2tp,ppp,info <l2tp-SAM>: authenticated 
15:37:27 l2tp,ppp,info <l2tp-SAM>: connected 
16:00:02 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 
16:00:02 l2tp,ppp,info,account SAM logged out, 1358 3850 1867 45 12 
16:00:02 l2tp,ppp,info <l2tp-SAM>: disconnected 
16:00:06 l2tp,ppp,info,account SAM logged in, 172.16.77.62 
16:00:06 l2tp,ppp,info <l2tp-SAM>: authenticated 
16:00:06 l2tp,ppp,info <l2tp-SAM>: connected

 

После этого в IP=>Routes отваливается нижний маршрут(выделение красным, в поле GW=unreachable). Почему это происходит, что делать, где почитать?

Все вышеперечисленное настраивал сам, начитавшись манов в гугле.

Как часто рвётся l2tp соединение? Посмотрите лог филиального роутера в эти моменты. А то, что отваливается маршрут, неудивительно - l2tp интерфейс-то упал.

Edited by Nuts
Saab95

Saab95

Posted
Posted

Вопрос 1: Почему в момент передачи файла тупым копированием с сервера в офисе на рабочий стол филиала загрузка проца в Tools =>Profile 100% (123.jpg), ежели отключить ipsec , то все проходит незаметно для процессора.

 

Потому что шифрование занимает ресурсы профессора, в 99.9 процентах случаев шифрование вообще не нужно.

 

Вопрос 2: В общем и целом конфа норм?

 

В конфиге много не нужных блокировок и всего лишнего, его можно раза в 3 уменьшить.

 

Вопрос 3: Как правильно сделать что-бы трафик в туннеле был только на сервер 1-с(терминалка) и на почтарь, а запросы в инет обрабатывал бы местный микротик?

 

Ну так сделайте маршруты на эти сервера, что бы удаленные офисы знали куда пакеты отправлять, а основной интернет сам побежит по местному интернету, если ничего лишнего специально не настраивать.

 

Вопрос 4: Как правильно сделать что-бы был доступ из филиала в сеть офиса по имени(dns сейчас не резолвит, я запутался) Хочу подключать людей к базам SQL через имя а не через IP (беда в том что в консоли управления сервером 1-с сервер назван по имени а не по IP, и соответственно если не добавлять это-же сервер как резервный только по IP, то 1-с не арбайтен т.к. не резолвятся запросы...)

 

В настройках DNS укажите статическую запись на IP сервера, соответственно все компьютеры офисов должны работать через ДНС микротика.

Yeehoo

Yeehoo

Posted
  • Author
Posted

1: AES-256 довольно прожорлив по ресурсам, поэтому процессор и нагружается. AES-128 достаточно, если хотите реально шифроваться. Если для галочки, можно 3DES, DES или вообще MPPE128 без IPSec.

Спасибо, поотключал все кроме 128 аес, помогло!

2: На головном роутере из пула DHCP не исключены адреса серверов. Ну, и, без полного понимания ваших задач, что-то ещё ответить затруднительно.

Знаю, надо будет заняться, убрать статику и вынести из пула.

3: А сейчас разве не так?

Я зачем-то внес в тестовом конфиге филиала микротик головного офиса как днс, здесь он без него и соответственно с этим конфигом все норм.

4: Что сейчас выступает в качестве DNS сервера (в головном и филиале)?

Сейчас в обоих офисах днс-ом выступает микротик

Как часто рвётся l2tp соединение? Посмотрите лог филиального роутера в эти моменты. А то, что отваливается маршрут, неудивительно - l2tp интерфейс-то упал.

Видимо было связано с внесением изменений в конфиг, аптайм тунеля 4 дня с гаком.

Спасибо за наводки, сейчас все ок, за исключением не резолвящегося из филиала сервера в головном офисе, но тут есть мысль что мне поможет роутинг, или статика в днс...

Yeehoo

Yeehoo

Posted
  • Author
Posted

Потому что шифрование занимает ресурсы профессора, в 99.9 процентах случаев шифрование вообще не нужно.

Идея не моя, у шефа образование=IT безопасность и он хочет чтоб шифровалось все... бесполезно спорить

 

В конфиге много не нужных блокировок и всего лишнего, его можно раза в 3 уменьшить.

Не соглашусь с Вами, помимо дефолтных я добавил еще 5 блокировок: входящие днс запросы по 53 порту=2шт(input+forward),

2 правила на дроп брутфорсеров через адрес листы(эти люди перебирали пароли на мой почтарь, в следствии чего и были внесены в списки сначала почтовиком, а потом ручками на микротике)

и еще одно правило дропающие подключения на 3389 т.к. порты замаплены другие и если кто-то ломиться на 3389 => ничего хорошего он мне не несет, это паранойя да, не спорю, но мне спокойнее

Ну так сделайте маршруты на эти сервера, что бы удаленные офисы знали куда пакеты отправлять, а основной интернет сам побежит по местному интернету, если ничего лишнего специально не настраивать.

Уже решил, накосячил маленько с конфигом, поправил=работает

В настройках DNS укажите статическую запись на IP сервера, соответственно все компьютеры офисов должны работать через ДНС микротика.

Спасибо за критику и наводки.

 

Попутно спрошу тут-же: ip ipsec> counters print не работает с 6.38 версией, как проверить что шифруется трафик?

p.s. показать визуально боссу чтоб он спал спокойнее.

Yeehoo

Yeehoo

Posted
  • Author
Posted (edited)

ip ipsec> counters print не работает с 6.38 версией, как проверить что шифруется трафик?

p.s. показать визуально боссу чтоб он спал спокойнее.

ip ipsec statistics print не то

Edited by Yeehoo

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.