Перейти к содержимому
Калькуляторы

mikrotik sstp постоянные дисконнекты

Добрый день. есть удаленный офис и центральный. у обоих каналы 30 мб/c в интернет у одного и того же провайдера. Белые IP. микротики 493G, 2011,951. насколько понял приблизительно одинаковая производительность. в принципе IPsec бы меня устроил, но 100% загрузки процессора при ~10мб/c . начал искать что то более менее безопасное (с шифрованием). настроил SSTP. на стенде вроде все было ок. единственно, плавающий пинг 20-50 через sstp , при пинге 3мс между внешними IP. это нормально ?

далее внедрил в продакшен и понеслось 20 минут- разрыв.2 сек на поднятие канала. через 20 минут опять разрыв по таймауту. пинги между внешними IP не теряются и стабильны.

нашел тему http://forum.mikrotik.com/viewtopic.php?p=386514&sid=a7b7904af2f3dbea36a3d0db8c14c010. точно как у меня.

роутер ос пробовал 6.5 и новейшую 6.7. результат одинаков.

вопрос: у кого нибудь на микротике работает SSTP ? если да, то если не сложно, то на какой версии Router OS ?

и буду сильно благодарен за export с sstp

 

спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня работает SSTP без проблем. Версия OS 6rc14. Не забудьте самое главное - создать нормальный профиль соединения.

 

/ppp profile

add change-tcp-mss=yes local-address=10.0.0.1 name=PPP only-one=yes use-compression=no use-encryption=no use-mpls=no use-vj-compression=no

 

и используйте его для создания учетных записей.

 

Однако SSTP не обеспечит вам высокую скорость в канале, лучше включить старый добрый L2TP.

 

Если все же нужен SSTP, то проверьте, доходят ли до удаленных устройств пинги размером 1500 байт без фрагментации, далее проверьте, не нарушается ли очередность пакетов, запуская пинги большего размера, например 16000 байт. Если будут теряться - ищите в чем причина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Профиль изменил. и на сервере и на клиенте. не помогло. за был сказать на тех же микротиках поднято 2 sstp канала. 1 один идет через выделенный канал (но медленный), 2 через интернет. и рвется только канал , который через интернет.

проверяю пинги как вы сказали из одной лан во вторую (не с микротика): ping root -l 1500 -f.

Ответ такой : Требуется фрагментация пакета, но установлен запрещающий флаг.

в локальной сети в одном сегменте прочем ответ тот же.

куда посмотреть ? что покрутить ?

спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Профиль изменил. и на сервере и на клиенте. не помогло. за был сказать на тех же микротиках поднято 2 sstp канала. 1 один идет через выделенный канал (но медленный), 2 через интернет. и рвется только канал , который через интернет.

проверяю пинги как вы сказали из одной лан во вторую (не с микротика): ping root -l 1500 -f.

Ответ такой : Требуется фрагментация пакета, но установлен запрещающий флаг.

в локальной сети в одном сегменте прочем ответ тот же.

куда посмотреть ? что покрутить ?

спасибо

 

Нужно запускать пинг не с компа а напрямую с микротика, что бы пинг шел через операторов без туннелей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"доходят ли до удаленных устройств пинги размером 1500 байт без фрагментации" - да , доходят без проблем.

"не нарушается ли очередность пакетов, запуская пинги большего размера, например 16000 байт" - не нарушаются.все пинги доходят без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

стабильно канал рвется под нагрузкой. что то начинаешь копировать - на микротиках 70-80% загрузки 25 мб\с где то. и оп-па дисконект. легко воспроизводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Щас сааб заявит что вы не правильно микротик конфигурите и вообще sstp НЕ НУЖНАЯ технология.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

стабильно канал рвется под нагрузкой. что то начинаешь копировать - на микротиках 70-80% загрузки 25 мб\с где то. и оп-па дисконект. легко воспроизводится.

 

Вы все галочки в настройках профиля соединения PPP на сервере поставили в NO?

 

Прошивку попробуйте версии 5.26 или 6rc14.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прошивку опробую. отпишусь

да. в профиле галочки как вы и сказали все в NO. толку это не дало.пока так и тестирую.но вообще : разве не теряется ли тогда смысл SSTP - если он без шифрования ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прошивку опробую. отпишусь

да. в профиле галочки как вы и сказали все в NO. толку это не дало.пока так и тестирую.но вообще : разве не теряется ли тогда смысл SSTP - если он без шифрования ?

 

У него шифрование внутри протокола и те галочки его не отменяют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тестировал на мт 951. прошивки на 5.26 и 6rc14 попарно . под нагрузкой 25мб\с гарантировано дисконект в течении 10 минут. без нагрузки - сутки висело все ок.

firewall и nat -пусто.

Изменено пользователем garag

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

впрочем зажал до 10 на WAN интерфейсе, тоже дисконекты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

впрочем зажал до 10 на WAN интерфейсе, тоже дисконекты.

 

Зажмите не на WAN, а на LAN, или шейпер сделайте по интерфейсу sstp-client, что бы его в полоску не загружали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сделал queues по sstp-client 10мб\с. через полчаса разрыв. что то энтузиазм убывает на глазах (..., что это вообще возможно на микротиках.

может быть кто то подскажет что прикупить из железок, скажем на клиентах 30-50 ipsec , и в голову 100 мб\с ipsec ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Провайдер не может что-то блокировать периодически? Попробуйте порты поменять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PC на атоме + бесплатный дистриб линукса. Куда больше 100мбит прогнать можно.

Вместо sstp и ipsec можно использовать openvpn.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

провайдер netbynet. блокировки это врядли. тем более что 443 порт был у меня занят и я пробовал на 444. тестовый был по умолчанию на 443. я склоняюсь, что глючит именно эта модель микротика 2011ver2.

поключил сейчас для пробы 951. Таким образом,что линки (wan,lan)на него идут через бриджи сделанные на 2011. сделал на 951 L2tp. начинаю копировать - 80мб\с . вот это разница). видимо пров внутри своей сетки не режет. однако посередине 15 гигового файла (для теста) дисконект. оказывается перегрузился 2011 через watchdog.еще раз запустил опять ребут. что то с 2011 не хорошо (

 

для справки температуру показывает в районе 40. вольт 24,1. загрузка при копировании 80мб\c - 80-85%

 

есть запасной 2011 тоже второй ревизии (покупались вместе)- ведет себя так же(

Изменено пользователем garag

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик нормально работает если его правильно использовать. Если он по вачдогу перезагружается во время копирования, значит загрузка процессора долгое время была в полку, следовательно нужно либо вачдог отключить, либо не допускать такой нагрузки.

 

Кстати, отключите в IP-Firewall-Connection кнопка Tracking отслеживание соединений, оно не нужно если НАТ не используете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ?

Циску БУ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ?

Циску БУ.

 

Которая в случае перегрузки процессора начинает рассылать трафик во все порты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ?

Циску БУ.

 

Которая в случае перегрузки процессора начинает рассылать трафик во все порты?

Голословно. Показывай пример.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.