Азизбек Умаров Posted March 20, 2018 · Report post Доброго времени суток, имееться три микротика модели RB2011UiAS-2HnD. Первый микротик центральный, на нем поднять L2TP Созданны две учетные записи, для двух удаленных микротиков. Проброшенны все нужные порты для работы L2TP VPN, также настроенна машрутизация на всех трех микротиков. Но при ширине канала 50 мб/с пропускная способность VPN канала очень низкая. и это одновременно на двух VPN-клиентах микротиках. Также высокий пинг с клиентского до центрального микротика. Возможно кто-то сталкивалься с подобной ситуацией, прошу указать направление как можно решить эту проблему! С уважением Умаров A.A Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 20, 2018 · Report post Ситуация обычная, неверно настроенное оборудование. Без конфигов с железок никто вам ничего не подскажет, никаких известных проблем в этом протоколе на МТ нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Азизбек Умаров Posted March 21, 2018 (edited) · Report post # mar/21/2018 03:38:13 by RouterOS 6.18 # software id = MAL2-H0QP # /interface bridge add admin-mac=4C:5E:0C:E9:BB:C0 auto-mac=no l2mtu=1598 name=bridge-local /interface ethernet set [ find default-name=ether1 ] name=ether1-wan set [ find default-name=ether6 ] name=ether6-master-local set [ find default-name=ether7 ] master-port=ether6-master-local name=\ ether7-slave-local set [ find default-name=ether8 ] master-port=ether6-master-local name=\ ether8-slave-local set [ find default-name=ether9 ] master-port=ether6-master-local name=\ ether9-slave-local set [ find default-name=ether10 ] name=ethernet10_Backup /ip neighbor discovery set ether1-wan discover=no /interface vlan add interface=bridge-local l2mtu=1594 name=vlan2 vlan-id=2 /ip hotspot profile add hotspot-address=10.5.50.1 name=hsprof1 /ip hotspot user profile add name=uprof1 shared-users=unlimited transparent-proxy=yes /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name=vpn ranges=10.10.10.1-10.10.10.254 add name=hs-pool-16 ranges=10.5.50.2-10.5.50.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge-local lease-time=10m name=\ default add address-pool=hs-pool-16 disabled=no interface=vlan2 lease-time=1h name=\ dhcp1 /ip hotspot add address-pool=hs-pool-16 disabled=no interface=vlan2 name=hotspot1 \ profile=hsprof1 /ppp profile add change-tcp-mss=yes local-address=192.168.88.1 name=RemoteUser \ remote-address=vpn /interface pppoe-client add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \ default-route-distance=1 dial-on-demand=no disabled=no interface=\ ether1-wan keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled \ name=pppoe-wan password=52781 profile=default service-name="" \ use-peer-dns=yes user=OBLBOL_52781@unlim /interface bridge port add bridge=bridge-local interface=ether2 add bridge=bridge-local interface=ether3 add bridge=bridge-local interface=ether4 add bridge=bridge-local interface=ether5 add bridge=bridge-local interface=ether6-master-local /interface l2tp-server server set default-profile=default enabled=yes max-mru=1430 max-mtu=1430 /ip dhcp-client add comment="default configuration" dhcp-options=hostname,clientid interface=\ ether1-wan /ip dhcp-server lease add address=192.168.88.250 client-id=1:76:34:8f:d8:b0:51 mac-address=\ 76:34:8F:D8:B0:51 server=default /ip dhcp-server network add address=10.5.50.0/24 comment="hotspot network" dns-server=10.5.50.1 \ gateway=10.5.50.1 add address=192.168.88.0/24 comment="default configuration" dns-server=\ 192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router /ip firewall address-list add address=192.168.8.0/24 list=vpn_dns add address=192.168.88.0/24 list=vpn_dns /ip firewall filter add chain=input dst-port=1723 protocol=tcp add chain=input dst-port=12333 protocol=udp add chain=input comment=L2TP dst-port=1701 protocol=udp add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add chain=input protocol=icmp add chain=input disabled=yes dst-port=1540,1541,1560-1591 protocol=tcp /ip firewall nat add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\ 192.168.88.1 to-ports=161 add action=netmap chain=dstnat dst-port=10050 protocol=tcp to-addresses=\ 192.168.88.13 to-ports=10050 add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add action=masquerade chain=srcnat comment="default configuration" \ out-interface=pppoe-wan add action=netmap chain=dstnat comment=\ "service ports 23654_80 to SERVER 192.168.88.13" dst-port=23654 \ in-interface=pppoe-wan protocol=tcp to-addresses=192.168.88.13 to-ports=\ 3389 add action=netmap chain=srcnat out-interface=pppoe-wan src-address=\ 192.168.88.253 to-addresses=85.113.182.** add action=netmap chain=dstnat dst-address=85.113.182.** in-interface=\ pppoe-wan to-addresses=192.168.88.253 add action=netmap chain=dstnat disabled=yes dst-address=85.113.18.** \ dst-port=88 in-interface=pppoe-wan protocol=tcp to-addresses=\ 192.168.88.13 to-ports=80 add action=masquerade chain=srcnat out-interface=all-ppp add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=10.5.50.0/24 add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=10.5.50.0/24 add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=10.5.50.0/24 add action=netmap chain=dstnat dst-port=9099 protocol=udp to-addresses=\ 192.168.88.1 to-ports=161 /ip hotspot user add name=admin password=sala666 profile=uprof1 /ip route add distance=1 dst-address=192.168.0.0/24 gateway=10.10.10.252 pref-src=\ 192.168.88.1 add distance=1 dst-address=192.168.8.0/24 gateway=10.10.10.254 pref-src=\ 192.168.88.1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set allow-disable-external-interface=no /ppp secret add local-address=192.168.88.1 name=RemoteUser1 password="*********" \ remote-address=10.10.10.254 service=l2tp add local-address=192.168.88.1 name=Remote password=********* remote-address=\ 10.10.10.252 service=l2tp /snmp set enabled=yes trap-community=public trap-version=2 /system watchdog set automatic-supout=no watchdog-timer=no /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=ether6-master-local add interface=ether7-slave-local add interface=ether8-slave-local add interface=ether9-slave-local add interface=ethernet10_Backup add interface=bridge-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=ether6-master-local add interface=ether7-slave-local add interface=ether8-slave-local add interface=ether9-slave-local add interface=ethernet10_Backup add interface=bridge-local Вот эта конфигигурация Микротика, к которому подключаються двое остальных! Также потребляемость ресурсов. Edited March 21, 2018 by Азизбек Умаров Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Азизбек Умаров Posted March 21, 2018 · Report post Конфигурация клиентского микротика. # /interface bridge add name=bridge1 add name=hotspot /interface vlan add interface=bridge1 name=vlan2 vlan-id=2 /interface wireless security-profiles add authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap group-ciphers=\ tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=\ profile1 supplicant-identity="" unicast-ciphers=tkip,aes-ccm \ wpa-pre-shared-key="**********" wpa2-pre-shared-key="**********" /interface wireless set [ find default-name=wlan1 ] disabled=no mode=ap-bridge security-profile=\ profile1 ssid=MikroTik_Roddom /ip hotspot profile add hotspot-address=10.10.10.1 name=hsprof1 /ip pool add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254 add name=hostpot_pol ranges=192.168.3.1-192.168.3.254 add name=dhcp_pool2 ranges=192.168.3.2-192.168.3.254 add name=hs-pool-16 ranges=10.10.10.2-10.10.10.254 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1 add address-pool=hs-pool-16 disabled=no interface=vlan2 lease-time=1h name=\ dhcp2 /ip hotspot add address-pool=hs-pool-16 disabled=no interface=vlan2 name=hotspot1 \ profile=hsprof1 /ip hotspot user profile add address-pool=hs-pool-16 name=uprof1 shared-users=50 transparent-proxy=yes /interface l2tp-client add connect-to=************.sn.mynetname.net disabled=no name=l2tp-out1 \ password=********* profile=default user=Remote /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=wlan1 add bridge=hotspot interface=ether10 /ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 add address=213.**********/30 interface=ether1 network=213.******* add address=10.10.10.1/24 interface=vlan2 network=10.10.10.0 /ip cloud set ddns-enabled=yes /ip dhcp-server network add address=10.10.10.0/24 comment="hotspot network" gateway=10.10.10.1 add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall filter add action=accept chain=input dst-port=12333 protocol=udp add action=accept chain=forward disabled=yes dst-port=1701 protocol=udp add action=accept chain=input disabled=yes dst-port=1701 protocol=udp add action=accept chain=input disabled=yes protocol=icmp add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes /ip firewall nat add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=10.10.10.0/24 add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\ 192.168.0.1 to-ports=161 /ip hotspot user add name=admin password=sala666 profile=uprof1 /ip route add distance=1 gateway=213.********* add distance=1 dst-address=192.168.88.0/24 gateway=l2tp-out1 pref-src=\ 192.168.0.1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /snmp set enabled=yes trap-version=2 /system clock прилагаю сккрин потребления ресурсов этим микротиком. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 21, 2018 · Report post Чисто навскидку. По серверу: В 21.03.2018 в 06:43, Азизбек Умаров сказал: add action=netmap chain=srcnat out-interface=pppoe-wan src-address=\ 192.168.88.253 to-addresses=85.113.182.** Зачем? В 21.03.2018 в 06:43, Азизбек Умаров сказал: add action=masquerade chain=srcnat out-interface=all-ppp Дублирующее правило, уберите. В 21.03.2018 в 06:43, Азизбек Умаров сказал: add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\ 192.168.88.1 to-ports=161 хотя бы входной интерфейс укажите. По клиенту: В 21.03.2018 в 06:57, Азизбек Умаров сказал: add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\ 192.168.0.1 to-ports=161 хотя бы входной интерфейс укажите. По обоим вместе: файрвол полностью открытый и похоже что клиентский МТ дудосят. Софт очень старый, обновите до bugfix 6.40.6. На обоих добавьте: /ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid,new in-interface=[имя вашего WAN] add action=drop chain=forward connection-state=invalid Если ходите на управление через интернет - добавьте разрешение add action=accept chain=input dst-port=8291 protocol=tcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...