garag Опубликовано 3 декабря, 2013 · Жалоба Добрый день. есть удаленный офис и центральный. у обоих каналы 30 мб/c в интернет у одного и того же провайдера. Белые IP. микротики 493G, 2011,951. насколько понял приблизительно одинаковая производительность. в принципе IPsec бы меня устроил, но 100% загрузки процессора при ~10мб/c . начал искать что то более менее безопасное (с шифрованием). настроил SSTP. на стенде вроде все было ок. единственно, плавающий пинг 20-50 через sstp , при пинге 3мс между внешними IP. это нормально ? далее внедрил в продакшен и понеслось 20 минут- разрыв.2 сек на поднятие канала. через 20 минут опять разрыв по таймауту. пинги между внешними IP не теряются и стабильны. нашел тему http://forum.mikrotik.com/viewtopic.php?p=386514&sid=a7b7904af2f3dbea36a3d0db8c14c010. точно как у меня. роутер ос пробовал 6.5 и новейшую 6.7. результат одинаков. вопрос: у кого нибудь на микротике работает SSTP ? если да, то если не сложно, то на какой версии Router OS ? и буду сильно благодарен за export с sstp спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 декабря, 2013 · Жалоба У меня работает SSTP без проблем. Версия OS 6rc14. Не забудьте самое главное - создать нормальный профиль соединения. /ppp profile add change-tcp-mss=yes local-address=10.0.0.1 name=PPP only-one=yes use-compression=no use-encryption=no use-mpls=no use-vj-compression=no и используйте его для создания учетных записей. Однако SSTP не обеспечит вам высокую скорость в канале, лучше включить старый добрый L2TP. Если все же нужен SSTP, то проверьте, доходят ли до удаленных устройств пинги размером 1500 байт без фрагментации, далее проверьте, не нарушается ли очередность пакетов, запуская пинги большего размера, например 16000 байт. Если будут теряться - ищите в чем причина. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 4 декабря, 2013 · Жалоба Профиль изменил. и на сервере и на клиенте. не помогло. за был сказать на тех же микротиках поднято 2 sstp канала. 1 один идет через выделенный канал (но медленный), 2 через интернет. и рвется только канал , который через интернет. проверяю пинги как вы сказали из одной лан во вторую (не с микротика): ping root -l 1500 -f. Ответ такой : Требуется фрагментация пакета, но установлен запрещающий флаг. в локальной сети в одном сегменте прочем ответ тот же. куда посмотреть ? что покрутить ? спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 декабря, 2013 · Жалоба Профиль изменил. и на сервере и на клиенте. не помогло. за был сказать на тех же микротиках поднято 2 sstp канала. 1 один идет через выделенный канал (но медленный), 2 через интернет. и рвется только канал , который через интернет. проверяю пинги как вы сказали из одной лан во вторую (не с микротика): ping root -l 1500 -f. Ответ такой : Требуется фрагментация пакета, но установлен запрещающий флаг. в локальной сети в одном сегменте прочем ответ тот же. куда посмотреть ? что покрутить ? спасибо Нужно запускать пинг не с компа а напрямую с микротика, что бы пинг шел через операторов без туннелей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 10 декабря, 2013 · Жалоба "доходят ли до удаленных устройств пинги размером 1500 байт без фрагментации" - да , доходят без проблем. "не нарушается ли очередность пакетов, запуская пинги большего размера, например 16000 байт" - не нарушаются.все пинги доходят без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 11 декабря, 2013 · Жалоба стабильно канал рвется под нагрузкой. что то начинаешь копировать - на микротиках 70-80% загрузки 25 мб\с где то. и оп-па дисконект. легко воспроизводится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 12 декабря, 2013 (изменено) · Жалоба Щас сааб заявит что вы не правильно микротик конфигурите и вообще sstp НЕ НУЖНАЯ технология. Изменено 12 декабря, 2013 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 декабря, 2013 · Жалоба стабильно канал рвется под нагрузкой. что то начинаешь копировать - на микротиках 70-80% загрузки 25 мб\с где то. и оп-па дисконект. легко воспроизводится. Вы все галочки в настройках профиля соединения PPP на сервере поставили в NO? Прошивку попробуйте версии 5.26 или 6rc14. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 12 декабря, 2013 · Жалоба прошивку опробую. отпишусь да. в профиле галочки как вы и сказали все в NO. толку это не дало.пока так и тестирую.но вообще : разве не теряется ли тогда смысл SSTP - если он без шифрования ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 декабря, 2013 · Жалоба прошивку опробую. отпишусь да. в профиле галочки как вы и сказали все в NO. толку это не дало.пока так и тестирую.но вообще : разве не теряется ли тогда смысл SSTP - если он без шифрования ? У него шифрование внутри протокола и те галочки его не отменяют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 16 декабря, 2013 (изменено) · Жалоба тестировал на мт 951. прошивки на 5.26 и 6rc14 попарно . под нагрузкой 25мб\с гарантировано дисконект в течении 10 минут. без нагрузки - сутки висело все ок. firewall и nat -пусто. Изменено 16 декабря, 2013 пользователем garag Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 16 декабря, 2013 · Жалоба впрочем зажал до 10 на WAN интерфейсе, тоже дисконекты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 декабря, 2013 · Жалоба впрочем зажал до 10 на WAN интерфейсе, тоже дисконекты. Зажмите не на WAN, а на LAN, или шейпер сделайте по интерфейсу sstp-client, что бы его в полоску не загружали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 16 декабря, 2013 · Жалоба сделал queues по sstp-client 10мб\с. через полчаса разрыв. что то энтузиазм убывает на глазах (..., что это вообще возможно на микротиках. может быть кто то подскажет что прикупить из железок, скажем на клиентах 30-50 ipsec , и в голову 100 мб\с ipsec ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 декабря, 2013 · Жалоба Провайдер не может что-то блокировать периодически? Попробуйте порты поменять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 16 декабря, 2013 · Жалоба PC на атоме + бесплатный дистриб линукса. Куда больше 100мбит прогнать можно. Вместо sstp и ipsec можно использовать openvpn. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 17 декабря, 2013 (изменено) · Жалоба провайдер netbynet. блокировки это врядли. тем более что 443 порт был у меня занят и я пробовал на 444. тестовый был по умолчанию на 443. я склоняюсь, что глючит именно эта модель микротика 2011ver2. поключил сейчас для пробы 951. Таким образом,что линки (wan,lan)на него идут через бриджи сделанные на 2011. сделал на 951 L2tp. начинаю копировать - 80мб\с . вот это разница). видимо пров внутри своей сетки не режет. однако посередине 15 гигового файла (для теста) дисконект. оказывается перегрузился 2011 через watchdog.еще раз запустил опять ребут. что то с 2011 не хорошо ( для справки температуру показывает в районе 40. вольт 24,1. загрузка при копировании 80мб\c - 80-85% есть запасной 2011 тоже второй ревизии (покупались вместе)- ведет себя так же( Изменено 17 декабря, 2013 пользователем garag Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garag Опубликовано 17 декабря, 2013 · Жалоба подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 декабря, 2013 · Жалоба Микротик нормально работает если его правильно использовать. Если он по вачдогу перезагружается во время копирования, значит загрузка процессора долгое время была в полку, следовательно нужно либо вачдог отключить, либо не допускать такой нагрузки. Кстати, отключите в IP-Firewall-Connection кнопка Tracking отслеживание соединений, оно не нужно если НАТ не используете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 17 декабря, 2013 · Жалоба подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Циску БУ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 декабря, 2013 · Жалоба подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Циску БУ. Которая в случае перегрузки процессора начинает рассылать трафик во все порты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 декабря, 2013 · Жалоба D-Link DFL*** Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 17 декабря, 2013 · Жалоба подключил все напрямую. проблемы топика это не сняло. какие то компы собирать, вот честно, нет желания. приобрел бы железяк однотипных. понятно что это будет дороже микротика , но что брать ? Циску БУ. Которая в случае перегрузки процессора начинает рассылать трафик во все порты? Голословно. Показывай пример. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...