[gus_ak]

Добрый день.

Помогите пож-та с проблемой.

До этого строил туннели на FreeBSD. Подобных проблем не наблюдалось.

Сейчас была необходимость построить туннель на железяках.

Приобрели Microtics

Для Головного офиса RB1100AHX4 DUDE

Для филиалов RB951G-2HND MIKROTIK

Собрал Ipsec туннель для объединения офисов.

Все завелось.

Вот скрипт для Гол. офиса:

YY.YY.YY.YY - Вн. IP  гол. офиса

192.168.1.0/24 Внутр. сеть гол. офиса

 

XX.XX.XX.XX - Вн. IP филиала

192.168.10.0/24 Внутр. сеть фил. офиса

/ip firewall filter remove [find comment=to_192.168.10.0/24]
/ip firewall filter add src-address=XX.XX.XX.XX action=accept chain=input comment=to_192.168.10.0/24
/ip firewall filter add dst-address=XX.XX.XX.XX action=accept chain=output comment=to_192.168.10.0/24
/ip firewall filter add src-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter add dst-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter move [find comment=to_192.168.10.0/24] 0

/ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.10.0/24 action=accept chain=srcnat comment=to_192.168.10.0/24
/ip firewall nat move [find comment=to_192.168.10.0/24] 0

/ip ipsec peer remove [find address=XX.XX.XX.XX/32]
/ip ipsec peer add address=XX.XX.XX.XX/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="SecretsIpSecPasswd"

/ip ipsec proposal remove [find name=XX.XX.XX.XX]
/ip ipsec proposal add name=XX.XX.XX.XX enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.10.0/24]
/ip ipsec policy add dst-address=192.168.10.0/24 sa-dst-address=XX.XX.XX.XX9 sa-src-address=YY.YY.YY.YY src-address=192.168.1.0/24 tunnel=yes proposal=XX.XX.XX.XX

 

Скрипт для туннеля филиала

 

/ip firewall filter remove [find comment=to_192.168.1.0/24]
/ip firewall filter add src-address=YY.YY.YY.YY action=accept chain=input comment=to_192.168.1.0/24
/ip firewall filter add dst-address=YY.YY.YY.YY action=accept chain=output comment=to_192.168.1.0/24
/ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24
/ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24
/ip firewall filter move [find comment=to_192.168.1.0/24] 0

/ip firewall nat add src-address=192.168.10.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24
/ip firewall nat move [find comment=to_192.168.1.0/24] 0

/ip ipsec peer remove [find address=YY.YY.YY.YY/32]
/ip ipsec peer add address=YY.YY.YY.YY/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="SecrestIPSecPasswd"

/ip ipsec proposal remove [find name=YY.YY.YY.YY]
/ip ipsec proposal add name=YY.YY.YY.YY enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.1.0/24]
/ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=YY.YY.YY.YY sa-src-address=XX.XX.XX.XX src-address=192.168.10.0/24 tunnel=yes proposal=YY.YY.YY.YY

Все завелось.

В филиале 4 Ноута - Wifi

4 IP телефона SIP. подключили их к Asterisk через тунель.

+ DRP к серверу. Короче говоря ни чего специфичного нет.

Все работало нормально часа 2-3 потом начались проблемы - 

стал отваливаться туннель пошли таймауты. затем вообще пропадал пинг до вн. IP адреса филиала.

Лечилось перезагрузкой микротика. помогало максимум на 1 час.

Поиск по инету подобных проблем не дал результата.

Подскажите, пож-та, где копнуть?

 

 

 

Изменено 20 марта, 2018 пользователем gus_ak

[jffulcrum]

16 минут назад, gus_ak сказал:

/ip ipsec proposal add name=YY.YY.YY.YY enc-algorithms=aes-256-cbc

Для  RB951G-2HND это слишком тяжелый протокол. У него нет HW offload, а вы еще и CPU NATом нагрузили. Посмотрите загрузку CPU на филиале, наверняка в полку.

[gus_ak]

ЦПУ Load не больше 12%.

К тому же, если снять нагрузку, канал не восстанавливался.

Только Reboot помогал.

Отключили туннель.

Просто заставил работать микротик в режиме NATa как шлюз в инет.

Те же симптомы. Брак?

 

 

Изменено 20 марта, 2018 пользователем gus_ak

[myth]

53 порт закрыт наружу?

[gus_ak]

если по дефолту открыт то нет.

Сейчас провели экперимент

Включили воткнули только Интет.

Время работы - 5 минут.

53 порт посмотреть не успел.

Изменено 20 марта, 2018 пользователем gus_ak

[Chexov]

5 часов назад, gus_ak сказал:

если по дефолту открыт то нет.

Сейчас провели экперимент

Включили воткнули только Интет.

Время работы - 5 минут.

53 порт посмотреть не успел.

 

Попробуйте netinstall и прошить 6.41.3  и заново настроить, возможно что-то нет так и в настройках,

если все так же будет, то весь конфиг  (export) сюда на показ.

 

Изменено 20 марта, 2018 пользователем Chexov

[myth]

16 часов назад, gus_ak сказал:

если по дефолту открыт то нет.

DNS Amplification

[jffulcrum]

Кстати, какая дата выпуска у RB951G-2HND ? В прошлом году в ряде регионов прошла партия чуть ли не первых ревизий 13 или 14 года, которая почти вся ушла в возврат, симптомами был "мертвый" WiFi "из коробки" - сразу после соединения первого клиента роутер вис примерно с вашими симптомами.