Dpoke Posted July 13, 2012 Всем привет, используете ли вы микротики в своей работе? Мы вот пытаемся и наступаем на грабли, хочу посоветоваться с вами по поводу ниже описанных нюансов работы. Также походу работы у нас возникают пожелания, которые я тут ниже перечислил. Может кто-то встречался и решал их уже или возможно у кого-то появятся мысли, как можно сделать так, чтобы обойти те или иные грабли или реализовать то или иное пожелание? Заранее спасибо за ответы. I IPsec. 1. Нестабильная работа IPsec Микротик-Микротик. Настроенный между двумя Микротиками IPsec туннель переинициализируется после сброса командой flush за плавающее время, от нескольких секунд до 10 минут. Хочется, чтобы повторяемость и предсказуемость была выше. Замечено также, что далеко не со всеми настройками IPsec работает. Если бы Микротик опубликовал рекомендуемые настройки для IPsec, это было бы замечательно. Мы пробовали так: Phase1 exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1h lifebytes=0 Phase2 enc-algorithms=aes-128, auth-algorithms=sha-1, lifetime=30m, pfs-group=modp1024 DPD 10 sec 3 fail. 2. Нестабильная работа IPsec Микротик-Cisco. Если туннель строится между Микротиком и Cisco, надёжность ещё меньше. Было бы желательно получить рекомендацию от Микротика, как настраивать туннель с Cisco, с указанием рабочих конфигов обеих сторон. 3. Управление IPsec. В текущей реализации, нет возможности сброса отдельных IPsec туннелей, только всех разом. Очень желательно получить возможность сброса отдельных туннелей. 4. Мониторинг IPsec по SNMP. Нет возможности по SNMP узнавать состояние туннеля и трафик в нём. 5. Отладка, см. вопрос II II Отладка. Нам не хватает средств отладки. Например, режима debug, в котором бы Микротик выдавал в логах расширенную диагностику. Конкретно не хватает диагностики работы IPsec в целом, UserManager, Radius Server и Client. III Создание пользователей. Желательно иметь возможность создавать пользователей, не зная их пароли, но зная хэши. Например, в Linux и Cisco такая возможность есть. В текущей реализации необходимо указывать пароль в открытую, и команда добавления пользователя с паролем доступна в истории ввода команд, что совсем нехорошо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted July 13, 2012 Ставьте на других платформах. Микротик клал на пользователей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 13, 2012 У микротика отладка есть, надо в логах просто включить конкретно что нужно и куда отправлять/сохранять. IPSec корявый, нужно использовать другие протоколы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...