Jump to content
Калькуляторы

VPN L2TP медленный VPN тунель между микротиками

Доброго времени суток, имееться три микротика модели  RB2011UiAS-2HnD.

Первый микротик центральный, на нем поднять L2TP

 image.png.acff85222fcbd86605b00fb0532f8b6c.png

Созданны две учетные записи, для двух удаленных микротиков.

image.thumb.png.4209eb433e90badf6a67c24e679d46a9.png

Проброшенны все нужные порты для  работы L2TP VPN, также настроенна машрутизация на всех трех микротиков.

Но при ширине канала 50 мб/с пропускная способность VPN канала очень низкая.

image.thumb.png.41fb2fb1351e1ba2fc4facca1b83fed4.png

и это одновременно на двух  VPN-клиентах микротиках.

Также высокий пинг с клиентского до центрального микротика.

image.thumb.png.caa4c750376e4e5cdc9a31c75465df51.png

 

Возможно кто-то сталкивалься с подобной ситуацией, прошу указать направление как можно решить эту проблему!

С уважением Умаров A.A

Share this post


Link to post
Share on other sites

Ситуация обычная, неверно настроенное оборудование. Без конфигов с железок никто вам ничего не подскажет, никаких известных проблем в этом протоколе на МТ нет.

Share this post


Link to post
Share on other sites

# mar/21/2018 03:38:13 by RouterOS 6.18
# software id = MAL2-H0QP
#
/interface bridge
add admin-mac=4C:5E:0C:E9:BB:C0 auto-mac=no l2mtu=1598 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
    ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
    ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
    ether9-slave-local
set [ find default-name=ether10 ] name=ethernet10_Backup
/ip neighbor discovery
set ether1-wan discover=no
/interface vlan
add interface=bridge-local l2mtu=1594 name=vlan2 vlan-id=2
/ip hotspot profile
add hotspot-address=10.5.50.1 name=hsprof1
/ip hotspot user profile
add name=uprof1 shared-users=unlimited transparent-proxy=yes
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=10.10.10.1-10.10.10.254
add name=hs-pool-16 ranges=10.5.50.2-10.5.50.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=10m name=\
    default
add address-pool=hs-pool-16 disabled=no interface=vlan2 lease-time=1h name=\
    dhcp1
/ip hotspot
add address-pool=hs-pool-16 disabled=no interface=vlan2 name=hotspot1 \
    profile=hsprof1
/ppp profile
add change-tcp-mss=yes local-address=192.168.88.1 name=RemoteUser \
    remote-address=vpn
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \
    default-route-distance=1 dial-on-demand=no disabled=no interface=\
    ether1-wan keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled \
    name=pppoe-wan password=52781 profile=default service-name="" \
    use-peer-dns=yes user=OBLBOL_52781@unlim
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
/interface l2tp-server server
set default-profile=default enabled=yes max-mru=1430 max-mtu=1430
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    ether1-wan
/ip dhcp-server lease
add address=192.168.88.250 client-id=1:76:34:8f:d8:b0:51 mac-address=\
    76:34:8F:D8:B0:51 server=default
/ip dhcp-server network
add address=10.5.50.0/24 comment="hotspot network" dns-server=10.5.50.1 \
    gateway=10.5.50.1
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall address-list
add address=192.168.8.0/24 list=vpn_dns
add address=192.168.88.0/24 list=vpn_dns
/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
add chain=input dst-port=12333 protocol=udp
add chain=input comment=L2TP dst-port=1701 protocol=udp
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add chain=input protocol=icmp
add chain=input disabled=yes dst-port=1540,1541,1560-1591 protocol=tcp
/ip firewall nat
add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\
    192.168.88.1 to-ports=161
add action=netmap chain=dstnat dst-port=10050 protocol=tcp to-addresses=\
    192.168.88.13 to-ports=10050
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-wan
add action=netmap chain=dstnat comment=\
    "service ports 23654_80 to SERVER 192.168.88.13" dst-port=23654 \
    in-interface=pppoe-wan protocol=tcp to-addresses=192.168.88.13 to-ports=\
    3389
add action=netmap chain=srcnat out-interface=pppoe-wan src-address=\
    192.168.88.253 to-addresses=85.113.182.**
add action=netmap chain=dstnat dst-address=85.113.182.** in-interface=\
    pppoe-wan to-addresses=192.168.88.253
add action=netmap chain=dstnat disabled=yes dst-address=85.113.18.** \
    dst-port=88 in-interface=pppoe-wan protocol=tcp to-addresses=\
    192.168.88.13 to-ports=80
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    src-address=10.5.50.0/24
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    src-address=10.5.50.0/24
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    src-address=10.5.50.0/24
add action=netmap chain=dstnat dst-port=9099 protocol=udp to-addresses=\
    192.168.88.1 to-ports=161
/ip hotspot user
add name=admin password=sala666 profile=uprof1
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=10.10.10.252 pref-src=\
    192.168.88.1
add distance=1 dst-address=192.168.8.0/24 gateway=10.10.10.254 pref-src=\
    192.168.88.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add local-address=192.168.88.1 name=RemoteUser1 password="*********" \
    remote-address=10.10.10.254 service=l2tp
add local-address=192.168.88.1 name=Remote password=********* remote-address=\
    10.10.10.252 service=l2tp
/snmp
set enabled=yes trap-community=public trap-version=2
/system watchdog
set automatic-supout=no watchdog-timer=no
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ethernet10_Backup
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ethernet10_Backup
add interface=bridge-local
 

Вот эта конфигигурация Микротика, к которому подключаються двое остальных!

 

Также потребляемость ресурсов.

 

image.thumb.png.6d9a743654fe8d1fcc35f2fb831affa6.png

Edited by Азизбек Умаров

Share this post


Link to post
Share on other sites

Конфигурация клиентского микротика.

#
/interface bridge
add name=bridge1
add name=hotspot
/interface vlan
add interface=bridge1 name=vlan2 vlan-id=2
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap group-ciphers=\
    tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=\
    profile1 supplicant-identity="" unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key="**********" wpa2-pre-shared-key="**********"
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge security-profile=\
    profile1 ssid=MikroTik_Roddom
/ip hotspot profile
add hotspot-address=10.10.10.1 name=hsprof1
/ip pool
add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254
add name=hostpot_pol ranges=192.168.3.1-192.168.3.254
add name=dhcp_pool2 ranges=192.168.3.2-192.168.3.254
add name=hs-pool-16 ranges=10.10.10.2-10.10.10.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
add address-pool=hs-pool-16 disabled=no interface=vlan2 lease-time=1h name=\
    dhcp2
/ip hotspot
add address-pool=hs-pool-16 disabled=no interface=vlan2 name=hotspot1 \
    profile=hsprof1
/ip hotspot user profile
add address-pool=hs-pool-16 name=uprof1 shared-users=50 transparent-proxy=yes
/interface l2tp-client
add connect-to=************.sn.mynetname.net disabled=no name=l2tp-out1 \
    password=********* profile=default user=Remote
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=wlan1
add bridge=hotspot interface=ether10
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
add address=213.**********/30 interface=ether1 network=213.*******
add address=10.10.10.1/24 interface=vlan2 network=10.10.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=10.10.10.0/24 comment="hotspot network" gateway=10.10.10.1
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input dst-port=12333 protocol=udp
add action=accept chain=forward disabled=yes dst-port=1701 protocol=udp
add action=accept chain=input disabled=yes dst-port=1701 protocol=udp
add action=accept chain=input disabled=yes protocol=icmp
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    src-address=10.10.10.0/24
add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\
    192.168.0.1 to-ports=161
/ip hotspot user
add name=admin password=sala666 profile=uprof1
/ip route
add distance=1 gateway=213.*********
add distance=1 dst-address=192.168.88.0/24 gateway=l2tp-out1 pref-src=\
    192.168.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/snmp
set enabled=yes trap-version=2
/system clock

 

прилагаю сккрин потребления ресурсов этим микротиком.

 

 

 

 

Безымянны123123й.png

Share this post


Link to post
Share on other sites

Чисто навскидку.

По серверу:

 

В 21.03.2018 в 06:43, Азизбек Умаров сказал:

add action=netmap chain=srcnat out-interface=pppoe-wan src-address=\
    192.168.88.253 to-addresses=85.113.182.**

Зачем?

 

В 21.03.2018 в 06:43, Азизбек Умаров сказал:

add action=masquerade chain=srcnat out-interface=all-ppp

Дублирующее правило, уберите.

 

В 21.03.2018 в 06:43, Азизбек Умаров сказал:

add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\
    192.168.88.1 to-ports=161

хотя бы входной интерфейс укажите.

 

По клиенту:

 

В 21.03.2018 в 06:57, Азизбек Умаров сказал:

add action=netmap chain=dstnat dst-port=12333 protocol=udp to-addresses=\
    192.168.0.1 to-ports=161

хотя бы входной интерфейс укажите.

 

 

По обоим вместе: файрвол полностью открытый и похоже что клиентский МТ дудосят. Софт очень старый, обновите до bugfix 6.40.6.

 

На обоих добавьте:

/ip firewall filter

add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid,new in-interface=[имя вашего WAN]
add action=drop chain=forward connection-state=invalid

 

Если ходите на управление через интернет - добавьте разрешение

add action=accept chain=input dst-port=8291 protocol=tcp

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.