admin53 Опубликовано 14 ноября, 2014 · Жалоба Имею сеть из 3х dfl-260e и 5х mikrotik RB-951g. Все коннектятся к центральному DFL в тоннельном режиме по IPSEC. То есть есть центральный сервер с виртуалками и DFL, а есть остальные офисы. Собственно в чем проблема: между DFL и mikrotik ipsec поднимается только по инициативе DFL. То есть делаем перезагрузку обоих устройств и пока я не пошлю пакеты из сети за DFL в сеть за mikrotik, тоннель не поднимется. Поле поднятия никаких проблем, все друг друга видят, тоннель стабильный. Конфигурация настройки ipsec на DFL одинаковая для всех, то есть и для mikrotik и для DFL-ов. DFL-ы между собой отлично тоннели поднимают и никаких проблем а с mikrotik вот такая канитель. Почему так происходит? Что я не доделываю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 ноября, 2014 · Жалоба Почему так происходит? Что я не доделываю? Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
danilbal Опубликовано 14 ноября, 2014 · Жалоба В свое время я эту проблему не порешал, отказался на этом участке от ipsec в пользу PPTP. Второй микротик для этого вовсе не обязателен:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 17 ноября, 2014 · Жалоба admin53, ip route покажите еще. Как вариант - поиграть с версиями ROS на микротах, они его довольно активно чинят/ломают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
danilbal Опубликовано 17 ноября, 2014 · Жалоба Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения. Хотя я могу ошибаться, конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 17 ноября, 2014 · Жалоба Почему так происходит? Что я не доделываю? Нужно сбросить микротик и настроить по новой, отменив начальный конфиг. А вместо DFL поставить тоже микротик и отказаться от IPSEC, установив просто туннели L2TP, поверх которых включить OSPF для передачи маршрутов. А как же еще один микротик для резервирования микротика и микротик для туннелирования внутри туннелирования? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 18 ноября, 2014 · Жалоба Мне кажется это все же особенность механизма conntrack в микроте - он скорей всего шлет пакеты через другой интерфейс пока не увидит вновьустановленного соединения. Тут не в conntrack дело, а в кривых раутах возможно. Хотя ROS и ipsec - это вообще плохо совместимые вещи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...