Dpoke Posted July 13, 2012 · Report post Всем привет, используете ли вы микротики в своей работе? Мы вот пытаемся и наступаем на грабли, хочу посоветоваться с вами по поводу ниже описанных нюансов работы. Также походу работы у нас возникают пожелания, которые я тут ниже перечислил. Может кто-то встречался и решал их уже или возможно у кого-то появятся мысли, как можно сделать так, чтобы обойти те или иные грабли или реализовать то или иное пожелание? Заранее спасибо за ответы. I IPsec. 1. Нестабильная работа IPsec Микротик-Микротик. Настроенный между двумя Микротиками IPsec туннель переинициализируется после сброса командой flush за плавающее время, от нескольких секунд до 10 минут. Хочется, чтобы повторяемость и предсказуемость была выше. Замечено также, что далеко не со всеми настройками IPsec работает. Если бы Микротик опубликовал рекомендуемые настройки для IPsec, это было бы замечательно. Мы пробовали так: Phase1 exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1h lifebytes=0 Phase2 enc-algorithms=aes-128, auth-algorithms=sha-1, lifetime=30m, pfs-group=modp1024 DPD 10 sec 3 fail. 2. Нестабильная работа IPsec Микротик-Cisco. Если туннель строится между Микротиком и Cisco, надёжность ещё меньше. Было бы желательно получить рекомендацию от Микротика, как настраивать туннель с Cisco, с указанием рабочих конфигов обеих сторон. 3. Управление IPsec. В текущей реализации, нет возможности сброса отдельных IPsec туннелей, только всех разом. Очень желательно получить возможность сброса отдельных туннелей. 4. Мониторинг IPsec по SNMP. Нет возможности по SNMP узнавать состояние туннеля и трафик в нём. 5. Отладка, см. вопрос II II Отладка. Нам не хватает средств отладки. Например, режима debug, в котором бы Микротик выдавал в логах расширенную диагностику. Конкретно не хватает диагностики работы IPsec в целом, UserManager, Radius Server и Client. III Создание пользователей. Желательно иметь возможность создавать пользователей, не зная их пароли, но зная хэши. Например, в Linux и Cisco такая возможность есть. В текущей реализации необходимо указывать пароль в открытую, и команда добавления пользователя с паролем доступна в истории ввода команд, что совсем нехорошо. Share this post Link to post Share on other sites
vlad11 Posted July 13, 2012 · Report post Ставьте на других платформах. Микротик клал на пользователей. Share this post Link to post Share on other sites
Saab95 Posted July 13, 2012 · Report post У микротика отладка есть, надо в логах просто включить конкретно что нужно и куда отправлять/сохранять. IPSec корявый, нужно использовать другие протоколы. Share this post Link to post Share on other sites
