gus_ak Posted March 20, 2018 Posted March 20, 2018 (edited) Добрый день. Помогите пож-та с проблемой. До этого строил туннели на FreeBSD. Подобных проблем не наблюдалось. Сейчас была необходимость построить туннель на железяках. Приобрели Microtics Для Головного офиса RB1100AHX4 DUDE Для филиалов RB951G-2HND MIKROTIK Собрал Ipsec туннель для объединения офисов. Все завелось. Вот скрипт для Гол. офиса: YY.YY.YY.YY - Вн. IP гол. офиса 192.168.1.0/24 Внутр. сеть гол. офиса XX.XX.XX.XX - Вн. IP филиала 192.168.10.0/24 Внутр. сеть фил. офиса /ip firewall filter remove [find comment=to_192.168.10.0/24] /ip firewall filter add src-address=XX.XX.XX.XX action=accept chain=input comment=to_192.168.10.0/24 /ip firewall filter add dst-address=XX.XX.XX.XX action=accept chain=output comment=to_192.168.10.0/24 /ip firewall filter add src-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24 /ip firewall filter add dst-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24 /ip firewall filter move [find comment=to_192.168.10.0/24] 0 /ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.10.0/24 action=accept chain=srcnat comment=to_192.168.10.0/24 /ip firewall nat move [find comment=to_192.168.10.0/24] 0 /ip ipsec peer remove [find address=XX.XX.XX.XX/32] /ip ipsec peer add address=XX.XX.XX.XX/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="SecretsIpSecPasswd" /ip ipsec proposal remove [find name=XX.XX.XX.XX] /ip ipsec proposal add name=XX.XX.XX.XX enc-algorithms=aes-256-cbc auth-algorithms=sha1 lifetime=8h /ip ipsec policy remove [find dst-address=192.168.10.0/24] /ip ipsec policy add dst-address=192.168.10.0/24 sa-dst-address=XX.XX.XX.XX9 sa-src-address=YY.YY.YY.YY src-address=192.168.1.0/24 tunnel=yes proposal=XX.XX.XX.XX Скрипт для туннеля филиала /ip firewall filter remove [find comment=to_192.168.1.0/24] /ip firewall filter add src-address=YY.YY.YY.YY action=accept chain=input comment=to_192.168.1.0/24 /ip firewall filter add dst-address=YY.YY.YY.YY action=accept chain=output comment=to_192.168.1.0/24 /ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter move [find comment=to_192.168.1.0/24] 0 /ip firewall nat add src-address=192.168.10.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24 /ip firewall nat move [find comment=to_192.168.1.0/24] 0 /ip ipsec peer remove [find address=YY.YY.YY.YY/32] /ip ipsec peer add address=YY.YY.YY.YY/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="SecrestIPSecPasswd" /ip ipsec proposal remove [find name=YY.YY.YY.YY] /ip ipsec proposal add name=YY.YY.YY.YY enc-algorithms=aes-256-cbc auth-algorithms=sha1 lifetime=8h /ip ipsec policy remove [find dst-address=192.168.1.0/24] /ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=YY.YY.YY.YY sa-src-address=XX.XX.XX.XX src-address=192.168.10.0/24 tunnel=yes proposal=YY.YY.YY.YY Все завелось. В филиале 4 Ноута - Wifi 4 IP телефона SIP. подключили их к Asterisk через тунель. + DRP к серверу. Короче говоря ни чего специфичного нет. Все работало нормально часа 2-3 потом начались проблемы - стал отваливаться туннель пошли таймауты. затем вообще пропадал пинг до вн. IP адреса филиала. Лечилось перезагрузкой микротика. помогало максимум на 1 час. Поиск по инету подобных проблем не дал результата. Подскажите, пож-та, где копнуть? Edited March 20, 2018 by gus_ak Вставить ник Quote
jffulcrum Posted March 20, 2018 Posted March 20, 2018 16 минут назад, gus_ak сказал: /ip ipsec proposal add name=YY.YY.YY.YY enc-algorithms=aes-256-cbc Для RB951G-2HND это слишком тяжелый протокол. У него нет HW offload, а вы еще и CPU NATом нагрузили. Посмотрите загрузку CPU на филиале, наверняка в полку. Вставить ник Quote
gus_ak Posted March 20, 2018 Author Posted March 20, 2018 (edited) ЦПУ Load не больше 12%. К тому же, если снять нагрузку, канал не восстанавливался. Только Reboot помогал. Отключили туннель. Просто заставил работать микротик в режиме NATa как шлюз в инет. Те же симптомы. Брак? Edited March 20, 2018 by gus_ak Вставить ник Quote
gus_ak Posted March 20, 2018 Author Posted March 20, 2018 (edited) если по дефолту открыт то нет. Сейчас провели экперимент Включили воткнули только Интет. Время работы - 5 минут. 53 порт посмотреть не успел. Edited March 20, 2018 by gus_ak Вставить ник Quote
Chexov Posted March 20, 2018 Posted March 20, 2018 (edited) 5 часов назад, gus_ak сказал: если по дефолту открыт то нет. Сейчас провели экперимент Включили воткнули только Интет. Время работы - 5 минут. 53 порт посмотреть не успел. Попробуйте netinstall и прошить 6.41.3 и заново настроить, возможно что-то нет так и в настройках, если все так же будет, то весь конфиг (export) сюда на показ. Edited March 20, 2018 by Chexov Вставить ник Quote
myth Posted March 21, 2018 Posted March 21, 2018 16 часов назад, gus_ak сказал: если по дефолту открыт то нет. DNS Amplification Вставить ник Quote
jffulcrum Posted March 21, 2018 Posted March 21, 2018 Кстати, какая дата выпуска у RB951G-2HND ? В прошлом году в ряде регионов прошла партия чуть ли не первых ревизий 13 или 14 года, которая почти вся ушла в возврат, симптомами был "мертвый" WiFi "из коробки" - сразу после соединения первого клиента роутер вис примерно с вашими симптомами. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.