Jump to content

Настройка MIkrotik

Dpoke
 Share

Recommended Posts

Dpoke

Dpoke

Posted
Posted

Всем привет, используете ли вы микротики в своей работе?

Мы вот пытаемся и наступаем на грабли, хочу посоветоваться с вами по поводу ниже описанных нюансов работы.

Также походу работы у нас возникают пожелания, которые я тут ниже перечислил.

Может кто-то встречался и решал их уже или возможно у кого-то появятся мысли, как можно сделать так, чтобы обойти те или иные грабли или реализовать то или иное пожелание?

Заранее спасибо за ответы.

 

I IPsec.

 

1. Нестабильная работа IPsec Микротик-Микротик.

Настроенный между двумя Микротиками IPsec туннель переинициализируется после сброса командой flush за плавающее время, от нескольких секунд до 10 минут.

Хочется, чтобы повторяемость и предсказуемость была выше. Замечено также, что далеко не со всеми настройками IPsec работает.

Если бы Микротик опубликовал рекомендуемые настройки для IPsec, это было бы замечательно.

Мы пробовали так:

Phase1 exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1h lifebytes=0

Phase2 enc-algorithms=aes-128, auth-algorithms=sha-1, lifetime=30m, pfs-group=modp1024

DPD 10 sec 3 fail.

 

2. Нестабильная работа IPsec Микротик-Cisco.

Если туннель строится между Микротиком и Cisco, надёжность ещё меньше.

Было бы желательно получить рекомендацию от Микротика, как настраивать туннель с Cisco, с указанием рабочих конфигов обеих сторон.

 

3. Управление IPsec.

В текущей реализации, нет возможности сброса отдельных IPsec туннелей, только всех разом.

Очень желательно получить возможность сброса отдельных туннелей.

 

4. Мониторинг IPsec по SNMP.

Нет возможности по SNMP узнавать состояние туннеля и трафик в нём.

 

5. Отладка, см. вопрос II

 

 

II Отладка.

 

Нам не хватает средств отладки. Например, режима debug, в котором бы Микротик выдавал в логах расширенную диагностику.

Конкретно не хватает диагностики работы IPsec в целом, UserManager, Radius Server и Client.

 

 

III Создание пользователей.

 

Желательно иметь возможность создавать пользователей, не зная их пароли, но зная хэши.

Например, в Linux и Cisco такая возможность есть.

В текущей реализации необходимо указывать пароль в открытую, и команда добавления пользователя с паролем доступна в истории ввода команд, что совсем нехорошо.

Saab95

Saab95

Posted
Posted

У микротика отладка есть, надо в логах просто включить конкретно что нужно и куда отправлять/сохранять.

 

IPSec корявый, нужно использовать другие протоколы.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.