Jump to content
Калькуляторы

Настройка MIkrotik Несколько различных проблем

Всем привет, используете ли вы микротики в своей работе?

Мы вот пытаемся и наступаем на грабли, хочу посоветоваться с вами по поводу ниже описанных нюансов работы.

Также походу работы у нас возникают пожелания, которые я тут ниже перечислил.

Может кто-то встречался и решал их уже или возможно у кого-то появятся мысли, как можно сделать так, чтобы обойти те или иные грабли или реализовать то или иное пожелание?

Заранее спасибо за ответы.

 

I IPsec.

 

1. Нестабильная работа IPsec Микротик-Микротик.

Настроенный между двумя Микротиками IPsec туннель переинициализируется после сброса командой flush за плавающее время, от нескольких секунд до 10 минут.

Хочется, чтобы повторяемость и предсказуемость была выше. Замечено также, что далеко не со всеми настройками IPsec работает.

Если бы Микротик опубликовал рекомендуемые настройки для IPsec, это было бы замечательно.

Мы пробовали так:

Phase1 exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1h lifebytes=0

Phase2 enc-algorithms=aes-128, auth-algorithms=sha-1, lifetime=30m, pfs-group=modp1024

DPD 10 sec 3 fail.

 

2. Нестабильная работа IPsec Микротик-Cisco.

Если туннель строится между Микротиком и Cisco, надёжность ещё меньше.

Было бы желательно получить рекомендацию от Микротика, как настраивать туннель с Cisco, с указанием рабочих конфигов обеих сторон.

 

3. Управление IPsec.

В текущей реализации, нет возможности сброса отдельных IPsec туннелей, только всех разом.

Очень желательно получить возможность сброса отдельных туннелей.

 

4. Мониторинг IPsec по SNMP.

Нет возможности по SNMP узнавать состояние туннеля и трафик в нём.

 

5. Отладка, см. вопрос II

 

 

II Отладка.

 

Нам не хватает средств отладки. Например, режима debug, в котором бы Микротик выдавал в логах расширенную диагностику.

Конкретно не хватает диагностики работы IPsec в целом, UserManager, Radius Server и Client.

 

 

III Создание пользователей.

 

Желательно иметь возможность создавать пользователей, не зная их пароли, но зная хэши.

Например, в Linux и Cisco такая возможность есть.

В текущей реализации необходимо указывать пароль в открытую, и команда добавления пользователя с паролем доступна в истории ввода команд, что совсем нехорошо.

Share this post


Link to post
Share on other sites

Ставьте на других платформах.

Микротик клал на пользователей.

Share this post


Link to post
Share on other sites

У микротика отладка есть, надо в логах просто включить конкретно что нужно и куда отправлять/сохранять.

 

IPSec корявый, нужно использовать другие протоколы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this