garag Posted December 3, 2013 Posted December 3, 2013 Добрый день. есть удаленный офис и центральный. у обоих каналы 30 мб/c в интернет у одного и того же провайдера. Белые IP. микротики 493G, 2011,951. насколько понял приблизительно одинаковая производительность. в принципе IPsec бы меня устроил, но 100% загрузки процессора при ~10мб/c . начал искать что то более менее безопасное (с шифрованием). настроил SSTP. на стенде вроде все было ок. единственно, плавающий пинг 20-50 через sstp , при пинге 3мс между внешними IP. это нормально ? далее внедрил в продакшен и понеслось 20 минут- разрыв.2 сек на поднятие канала. через 20 минут опять разрыв по таймауту. пинги между внешними IP не теряются и стабильны. нашел тему http://forum.mikrotik.com/viewtopic.php?p=386514&sid=a7b7904af2f3dbea36a3d0db8c14c010. точно как у меня. роутер ос пробовал 6.5 и новейшую 6.7. результат одинаков. вопрос: у кого нибудь на микротике работает SSTP ? если да, то если не сложно, то на какой версии Router OS ? и буду сильно благодарен за export с sstp спасибо. Вставить ник Quote
Saab95 Posted December 3, 2013 Posted December 3, 2013 У меня работает SSTP без проблем. Версия OS 6rc14. Не забудьте самое главное - создать нормальный профиль соединения. /ppp profile add change-tcp-mss=yes local-address=10.0.0.1 name=PPP only-one=yes use-compression=no use-encryption=no use-mpls=no use-vj-compression=no и используйте его для создания учетных записей. Однако SSTP не обеспечит вам высокую скорость в канале, лучше включить старый добрый L2TP. Если все же нужен SSTP, то проверьте, доходят ли до удаленных устройств пинги размером 1500 байт без фрагментации, далее проверьте, не нарушается ли очередность пакетов, запуская пинги большего размера, например 16000 байт. Если будут теряться - ищите в чем причина. Вставить ник Quote
garag Posted December 4, 2013 Author Posted December 4, 2013 Профиль изменил. и на сервере и на клиенте. не помогло. за был сказать на тех же микротиках поднято 2 sstp канала. 1 один идет через выделенный канал (но медленный), 2 через интернет. и рвется только канал , который через интернет. проверяю пинги как вы сказали из одной лан во вторую (не с микротика): ping root -l 1500 -f. Ответ такой : Требуется фрагментация пакета, но установлен запрещающий флаг. в локальной сети в одном сегменте прочем ответ тот же. куда посмотреть ? что покрутить ? спасибо Вставить ник Quote
Saab95 Posted December 4, 2013 Posted December 4, 2013 Профиль изменил. и на сервере и на клиенте. не помогло. за был сказать на тех же микротиках поднято 2 sstp канала. 1 один идет через выделенный канал (но медленный), 2 через интернет. и рвется только канал , который через интернет. проверяю пинги как вы сказали из одной лан во вторую (не с микротика): ping root -l 1500 -f. Ответ такой : Требуется фрагментация пакета, но установлен запрещающий флаг. в локальной сети в одном сегменте прочем ответ тот же. куда посмотреть ? что покрутить ? спасибо Нужно запускать пинг не с компа а напрямую с микротика, что бы пинг шел через операторов без туннелей. Вставить ник Quote
garag Posted December 10, 2013 Author Posted December 10, 2013 "доходят ли до удаленных устройств пинги размером 1500 байт без фрагментации" - да , доходят без проблем. "не нарушается ли очередность пакетов, запуская пинги большего размера, например 16000 байт" - не нарушаются.все пинги доходят без проблем. Вставить ник Quote
garag Posted December 11, 2013 Author Posted December 11, 2013 стабильно канал рвется под нагрузкой. что то начинаешь копировать - на микротиках 70-80% загрузки 25 мб\с где то. и оп-па дисконект. легко воспроизводится. Вставить ник Quote
myst Posted December 12, 2013 Posted December 12, 2013 (edited) Щас сааб заявит что вы не правильно микротик конфигурите и вообще sstp НЕ НУЖНАЯ технология. Edited December 12, 2013 by myst Вставить ник Quote
Saab95 Posted December 12, 2013 Posted December 12, 2013 стабильно канал рвется под нагрузкой. что то начинаешь копировать - на микротиках 70-80% загрузки 25 мб\с где то. и оп-па дисконект. легко воспроизводится. Вы все галочки в настройках профиля соединения PPP на сервере поставили в NO? Прошивку попробуйте версии 5.26 или 6rc14. Вставить ник Quote
garag Posted December 12, 2013 Author Posted December 12, 2013 прошивку опробую. отпишусь да. в профиле галочки как вы и сказали все в NO. толку это не дало.пока так и тестирую.но вообще : разве не теряется ли тогда смысл SSTP - если он без шифрования ? Вставить ник Quote
Saab95 Posted December 12, 2013 Posted December 12, 2013 прошивку опробую. отпишусь да. в профиле галочки как вы и сказали все в NO. толку это не дало.пока так и тестирую.но вообще : разве не теряется ли тогда смысл SSTP - если он без шифрования ? У него шифрование внутри протокола и те галочки его не отменяют. Вставить ник Quote
garag Posted December 16, 2013 Author Posted December 16, 2013 (edited) тестировал на мт 951. прошивки на 5.26 и 6rc14 попарно . под нагрузкой 25мб\с гарантировано дисконект в течении 10 минут. без нагрузки - сутки висело все ок. firewall и nat -пусто. Edited December 16, 2013 by garag Вставить ник Quote
garag Posted December 16, 2013 Author Posted December 16, 2013 впрочем зажал до 10 на WAN интерфейсе, тоже дисконекты. Вставить ник Quote
Saab95 Posted December 16, 2013 Posted December 16, 2013 впрочем зажал до 10 на WAN интерфейсе, тоже дисконекты. Зажмите не на WAN, а на LAN, или шейпер сделайте по интерфейсу sstp-client, что бы его в полоску не загружали. Вставить ник Quote
garag Posted December 16, 2013 Author Posted December 16, 2013 сделал queues по sstp-client 10мб\с. через полчаса разрыв. что то энтузиазм убывает на глазах (..., что это вообще возможно на микротиках. может быть кто то подскажет что прикупить из железок, скажем на клиентах 30-50 ipsec , и в голову 100 мб\с ipsec ? Вставить ник Quote
Saab95 Posted December 16, 2013 Posted December 16, 2013 Провайдер не может что-то блокировать периодически? Попробуйте порты поменять. Вставить ник Quote
pawel40 Posted December 16, 2013 Posted December 16, 2013 PC на атоме + бесплатный дистриб линукса. Куда больше 100мбит прогнать можно. Вместо sstp и ipsec можно использовать openvpn. Вставить ник Quote
garag Posted December 17, 2013 Author Posted December 17, 2013 (edited) провайдер netbynet. блокировки это врядли. тем более что 443 порт был у меня занят и я пробовал на 444. тестовый был по умолчанию на 443. я склоняюсь, что глючит именно эта модель микротика 2011ver2. поключил сейчас для пробы 951. Таким образом,что линки (wan,lan)на него идут через бриджи сделанные на 2011. сделал на 951 L2tp. начинаю копировать - 80мб\с . вот это разница). видимо пров внутри своей сетки не режет. однако посередине 15 гигового файла (для теста) дисконект. оказывается перегрузился 2011 через watchdog.еще раз запустил опять ребут. что то с 2011 не хорошо ( для справки температуру показывает в районе 40. вольт 24,1. загрузка при копировании 80мб\c - 80-85% есть запасной 2011 тоже второй ревизии (покупались вместе)- ведет себя так же( Edited December 17, 2013 by garag Вставить ник Quote
garag Posted December 17, 2013 Author Posted December 17, 2013 подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Вставить ник Quote
Saab95 Posted December 17, 2013 Posted December 17, 2013 Микротик нормально работает если его правильно использовать. Если он по вачдогу перезагружается во время копирования, значит загрузка процессора долгое время была в полку, следовательно нужно либо вачдог отключить, либо не допускать такой нагрузки. Кстати, отключите в IP-Firewall-Connection кнопка Tracking отслеживание соединений, оно не нужно если НАТ не используете. Вставить ник Quote
pawel40 Posted December 17, 2013 Posted December 17, 2013 подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Циску БУ. Вставить ник Quote
Saab95 Posted December 17, 2013 Posted December 17, 2013 подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Циску БУ. Которая в случае перегрузки процессора начинает рассылать трафик во все порты? Вставить ник Quote
pawel40 Posted December 17, 2013 Posted December 17, 2013 подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Циску БУ. Которая в случае перегрузки процессора начинает рассылать трафик во все порты? Голословно. Показывай пример. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.