[kinord]

Приветствую всех.

 

У меня есть микротик rb750 на узле - к нему по pptp подключаются такие же rb750. Связи организованы для того, что бы иметь административный доступ к этим железкам по vpn.

На основном микротике поднят сервер pptp. Соответственно с этим настроены все профили, для каждого подключаемого микротика запущен свой pptp сервер. Когда удаленный микротик ломится по pptp на основной - сервер подхватывает соединение.

Такая схема у меня работает уже года 2. Все было нормально и без проблем. Но в один прекрасный момент начались глюки. Сразу говорю, что ничего не менялось, не перенастраивалось и не прошивалось. Везде стоят прошивки 5.26

Сначала центральный микротик при перезагрузке стал долго подключать остальных, отбивая попытки клиентов по таймауту. Потом косяк этот сам по себе пропал. Сейчас такая ситуация: удаленный микротик периодически теряет связь с центральным микротиком, но при этом pptp сервер не рушит связь, а присоединяемый микротик появляется как динамический сервер. Ранее, если удаленный микротик терял связь, то автоматически восстанавливал её и pptp сервер выключался и включался снова, а теперь он типа зависает во ключенном состоянии, создавая при этом динамическую связь.

 

С чем может быть связано и как отловить проблему?

[rdmitrich]

Приветствую всех.

 

У меня есть микротик rb750 на узле - к нему по pptp подключаются такие же rb750. Связи организованы для того, что бы иметь административный доступ к этим железкам по vpn.

На основном микротике поднят сервер pptp. Соответственно с этим настроены все профили, для каждого подключаемого микротика запущен свой pptp сервер. Когда удаленный микротик ломится по pptp на основной - сервер подхватывает соединение.

Такая схема у меня работает уже года 2. Все было нормально и без проблем. Но в один прекрасный момент начались глюки. Сразу говорю, что ничего не менялось, не перенастраивалось и не прошивалось. Везде стоят прошивки 5.26

Сначала центральный микротик при перезагрузке стал долго подключать остальных, отбивая попытки клиентов по таймауту. Потом косяк этот сам по себе пропал. Сейчас такая ситуация: удаленный микротик периодически теряет связь с центральным микротиком, но при этом pptp сервер не рушит связь, а присоединяемый микротик появляется как динамический сервер. Ранее, если удаленный микротик терял связь, то автоматически восстанавливал её и pptp сервер выключался и включался снова, а теперь он типа зависает во ключенном состоянии, создавая при этом динамическую связь.

 

С чем может быть связано и как отловить проблему?

У меня аналогичная проблема с подключением по winbox появилась внезапно на платформе х86, подключение вроде инициализируется "logging in" и на этом все, может так стоять 30-40 минут

Изменено 18 декабря, 2014 пользователем rdmitrich

[kinord]

У меня аналогичная проблема с подключением по winbox появилась внезапно на платформе х86, подключение вроде инициализируется "logging in" и на этом все, может так стоять 30-40 минут

 

у меня была такая проблема, решилась вроде когда добавил принудительный маршрут не на всю сеть с которой заходил, а на конкретный ip

[Saab95]

Пинг запустите размером 1500 байт на дальний и посмотрите не теряется ли, возможно у оператора проблема с пропуском больших пакетов, тогда нужно в настройках PPP сервера мту уменьшить.

[kinord]

1500 не пролазит 1460 как в настройках сервера пролазит.

 

Уменьшил keepalive timeout - вроде пока нормально всё

[pandel]

А для чего несколько pptp серверов поднято?

[kinord]

А для чего несколько pptp серверов поднято?

 

для каждого удаленного устройства свой сервер, т.е. как бы свой интерфейс виртуальный образуется, на который потом можно маршрут назначить, что бы ходит на удаленную железку

[Saab95]

для каждого удаленного устройства свой сервер, т.е. как бы свой интерфейс виртуальный образуется, на который потом можно маршрут назначить, что бы ходит на удаленную железку

 

А по IP адресу, который выдаете подключенному устройству, разве нельзя маршрут назначить? Тогда и никакой кучи серверов не требуется.

[kinord]

А по IP адресу, который выдаете подключенному устройству, разве нельзя маршрут назначить? Тогда и никакой кучи серверов не требуется.

 

Можно конечно, но мне как-то привычней держать свой интерфейс под каждого клиента. Так оно в списке роутов информативней получается.

[Saab95]

А по IP адресу, который выдаете подключенному устройству, разве нельзя маршрут назначить? Тогда и никакой кучи серверов не требуется.

 

Можно конечно, но мне как-то привычней держать свой интерфейс под каждого клиента. Так оно в списке роутов информативней получается.

 

Можно комментарии указывать у маршрутов, так правильнее будет. Вручную добавлять PPP сервера нужно только в тех случаях, когда это действительно необходимо, например при установке метрики интерфейсов OSPF. В вашем случае только лишнюю нагрузку на процессор создаете.

[kinord]

Можно комментарии указывать у маршрутов, так правильнее будет. Вручную добавлять PPP сервера нужно только в тех случаях, когда это действительно необходимо, например при установке метрики интерфейсов OSPF. В вашем случае только лишнюю нагрузку на процессор создаете.

 

Комменты я тоже делаю, но это не так наглядно. Нихрена оно не создает нагрузку. Вообще нисколько )

[DAF]

Соглашусь с kinord, тем более

- если в профиле указано only-one=yes и в файерволе для входа клиентов ограничен диапазон адресов, то меньше шансов увидеть множество красных строчек в логе :)

- с маской /32 все равно - сколько серверов - столько строк в /ip routes (при only-one=yes)

- лишней нагрузки на процессор намного больше от VLAN-ов без задействованных возможностей Swich/не очень нужных EoIp-ов/кривой настройки DNS при нескольких LAN на WAN разных провайдеров.

- действительно нагляднее - особенно если LCD присутствует и настроен (RB-2011UAS-2HnD)