gus_ak Опубликовано 20 марта, 2018 (изменено) · Жалоба Добрый день. Помогите пож-та с проблемой. До этого строил туннели на FreeBSD. Подобных проблем не наблюдалось. Сейчас была необходимость построить туннель на железяках. Приобрели Microtics Для Головного офиса RB1100AHX4 DUDE Для филиалов RB951G-2HND MIKROTIK Собрал Ipsec туннель для объединения офисов. Все завелось. Вот скрипт для Гол. офиса: YY.YY.YY.YY - Вн. IP гол. офиса 192.168.1.0/24 Внутр. сеть гол. офиса XX.XX.XX.XX - Вн. IP филиала 192.168.10.0/24 Внутр. сеть фил. офиса /ip firewall filter remove [find comment=to_192.168.10.0/24] /ip firewall filter add src-address=XX.XX.XX.XX action=accept chain=input comment=to_192.168.10.0/24 /ip firewall filter add dst-address=XX.XX.XX.XX action=accept chain=output comment=to_192.168.10.0/24 /ip firewall filter add src-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24 /ip firewall filter add dst-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24 /ip firewall filter move [find comment=to_192.168.10.0/24] 0 /ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.10.0/24 action=accept chain=srcnat comment=to_192.168.10.0/24 /ip firewall nat move [find comment=to_192.168.10.0/24] 0 /ip ipsec peer remove [find address=XX.XX.XX.XX/32] /ip ipsec peer add address=XX.XX.XX.XX/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="SecretsIpSecPasswd" /ip ipsec proposal remove [find name=XX.XX.XX.XX] /ip ipsec proposal add name=XX.XX.XX.XX enc-algorithms=aes-256-cbc auth-algorithms=sha1 lifetime=8h /ip ipsec policy remove [find dst-address=192.168.10.0/24] /ip ipsec policy add dst-address=192.168.10.0/24 sa-dst-address=XX.XX.XX.XX9 sa-src-address=YY.YY.YY.YY src-address=192.168.1.0/24 tunnel=yes proposal=XX.XX.XX.XX Скрипт для туннеля филиала /ip firewall filter remove [find comment=to_192.168.1.0/24] /ip firewall filter add src-address=YY.YY.YY.YY action=accept chain=input comment=to_192.168.1.0/24 /ip firewall filter add dst-address=YY.YY.YY.YY action=accept chain=output comment=to_192.168.1.0/24 /ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter move [find comment=to_192.168.1.0/24] 0 /ip firewall nat add src-address=192.168.10.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24 /ip firewall nat move [find comment=to_192.168.1.0/24] 0 /ip ipsec peer remove [find address=YY.YY.YY.YY/32] /ip ipsec peer add address=YY.YY.YY.YY/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="SecrestIPSecPasswd" /ip ipsec proposal remove [find name=YY.YY.YY.YY] /ip ipsec proposal add name=YY.YY.YY.YY enc-algorithms=aes-256-cbc auth-algorithms=sha1 lifetime=8h /ip ipsec policy remove [find dst-address=192.168.1.0/24] /ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=YY.YY.YY.YY sa-src-address=XX.XX.XX.XX src-address=192.168.10.0/24 tunnel=yes proposal=YY.YY.YY.YY Все завелось. В филиале 4 Ноута - Wifi 4 IP телефона SIP. подключили их к Asterisk через тунель. + DRP к серверу. Короче говоря ни чего специфичного нет. Все работало нормально часа 2-3 потом начались проблемы - стал отваливаться туннель пошли таймауты. затем вообще пропадал пинг до вн. IP адреса филиала. Лечилось перезагрузкой микротика. помогало максимум на 1 час. Поиск по инету подобных проблем не дал результата. Подскажите, пож-та, где копнуть? Изменено 20 марта, 2018 пользователем gus_ak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 20 марта, 2018 · Жалоба 16 минут назад, gus_ak сказал: /ip ipsec proposal add name=YY.YY.YY.YY enc-algorithms=aes-256-cbc Для RB951G-2HND это слишком тяжелый протокол. У него нет HW offload, а вы еще и CPU NATом нагрузили. Посмотрите загрузку CPU на филиале, наверняка в полку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gus_ak Опубликовано 20 марта, 2018 (изменено) · Жалоба ЦПУ Load не больше 12%. К тому же, если снять нагрузку, канал не восстанавливался. Только Reboot помогал. Отключили туннель. Просто заставил работать микротик в режиме NATa как шлюз в инет. Те же симптомы. Брак? Изменено 20 марта, 2018 пользователем gus_ak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 марта, 2018 · Жалоба 53 порт закрыт наружу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gus_ak Опубликовано 20 марта, 2018 (изменено) · Жалоба если по дефолту открыт то нет. Сейчас провели экперимент Включили воткнули только Интет. Время работы - 5 минут. 53 порт посмотреть не успел. Изменено 20 марта, 2018 пользователем gus_ak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 20 марта, 2018 (изменено) · Жалоба 5 часов назад, gus_ak сказал: если по дефолту открыт то нет. Сейчас провели экперимент Включили воткнули только Интет. Время работы - 5 минут. 53 порт посмотреть не успел. Попробуйте netinstall и прошить 6.41.3 и заново настроить, возможно что-то нет так и в настройках, если все так же будет, то весь конфиг (export) сюда на показ. Изменено 20 марта, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба 16 часов назад, gus_ak сказал: если по дефолту открыт то нет. DNS Amplification Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 21 марта, 2018 · Жалоба Кстати, какая дата выпуска у RB951G-2HND ? В прошлом году в ряде регионов прошла партия чуть ли не первых ревизий 13 или 14 года, которая почти вся ушла в возврат, симптомами был "мертвый" WiFi "из коробки" - сразу после соединения первого клиента роутер вис примерно с вашими симптомами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...