Mr. Grey
-
Posts
23 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Mr. Grey
-
-
3 часа назад, Le ecureuil сказал:
Почему вам пересборка не подходит?
Потому что при пересборке происходит повышение до legacy 2.16
Или есть способ пересобрать компоненты без повышения релиза? В веб-интерфейсе я такого не заметил. В техподдержке подсказали другой способ победить проблему - ip sip alg port 65535 (перенаправить на другой порт), в результате 5060 освободился, плюс пробросил 10 000 - 11 000 по рекомендации Эртелекома для речевых сообщений. В итоге все заработало!
Спасибо, попробую разные параметры vpn-server lcp echo + еще ответит поддержка, я им приложил self-test и лог с одного из новых кинетиков на точке.
-
1 час назад, Le ecureuil сказал:
Насчет разрывов - что у вас за клиент? Были проблемы между новым сервером и старым клиентом, но они решаемы через настройку lcp echo на клиенте.
PPTP-клиенты микротики. В логах микротиков keepalive timeout, соответственно клиент разрывает соединение и пересоединяется. Откатился на кинетике обратно на старую прошивку, разрывы прекратились. Возможно есть смысл обновить routerOS на клиентах?
А по телефонии можете сказать? Я так понял, что sip alg - это системный компонент и просто так его отключить без пересборки прошивки не получится (странно, конечно, на копеечных роутерах просто галочка снимается)
-
52 минуты назад, krass сказал:
А чем он вам мешал?
С ним база yealink то пропускала звонки, то недоступна (и входящие и исходящие). Причем статус регистрации у voip шлюза всегда был registered. База за NATом кинетика, шлюз эртелеком.
-
Только что, krass сказал:
прошивку и конфиг
Конфиг я всегда сохраняю, а firmware можно скачать без проблем. Спасибо, попробую ночью.
P.S. Да уж, обновился. Целью было всего лишь убрать SIP ALG из прошивки, но к сожалению просто удалить компонент невозможно, только апгрейдом с галочкой нужных компонентов...
-
11 минуту назад, krass сказал:
Если есть желание -- попробуйте 2.16
Если выполнить
> components list legacy
> components commit
То рабочий конфиг не упадет и список компонентов останется прежним? Так можно даунгрейд сделать с 3.6?
-
Обновился до новой 3.6 прошивки. Две гиги KN-1010, IPSec между ними. Раньше была 2.13, все было хорошо.... Теперь при копировании файлов нагрузка на проц до 40 %. Обновлялся поверх, чтобы сохранить старый конфиг (очень много учеток PPTP, тоннелей, маршрутов). Что могло случиться? Шифрование AES-128/MD5. Раньше в логах можно было увидеть работу cryptoengine, теперь ничего. И еще теперь PPTP-сервер примерно каждые 5 минут рвет на секунду соединение, затем клиент с той стороны его поднимает. Естественно в этот промежуток потеря пакетов. В логах vpn0:"имя пользователя PPTP": failed to get interface statistics
Что за беда с этими 3.Х, прям хоть обратно откатывайся :(
-
Та же фигня, но за кинетиком стоит Centos с Apache (для веб-публикации баз 1С). На самом кинетике http-порт сменен на 8080. Пытаюсь пробросить, скажем, 30000 порт на внутренний 80 (для апача) - тишина. При этом (!) когда был установлен IIS, то порты без проблем пробрасывались.... Магия какая-то :) Во внутренней сети по внутреннему IP апач отвечает и доступен, извне по "белый ip:30000" - НЕТ.
-
5 hours ago, Le ecureuil said:
Не знаю какова реализация IPsec в M, если там racoon, то это кусок дерьма откровенный.
Насчет 1 и 2 - вам нужно снимать dump на WAN момента установки IKE во втором случае и ESP в первом и self-test, чтобы смотреть что там внутри туннеля реально ходит.
Это лучше делать с техподдержкой, они знают куда смотреть.
Мне проще будет микротик отдать рулить москвичам (которые и попросили ЭТО поставить для связи с их головным микротиком), а клиентов на гигу пускать по PPTP-клиенту Windows. Вопрос, насколько надежно такое подключение (в плане стабильности, а не безопасности)? Не будет ли оно часто разрываться?
P.S. Перечитал немало статей, но так и не нашел способ подружить микротик и кинетик. По поводу второго вопроса - может ли быть так, что MTU в случае с PPoE не дает установить тоннель с микротиком? В логах микротика сообщения, что невозможно установить даже фазу 1.
-
Добрый день :) Есть микротик серии CRS и Giga KN-1010. На обоих белые внешние IP-адреса. Создал IPSec-тоннель, сконфигурировал proposals, peer на микротике, policy между подсетями. На гиге как обычно по стандартной инструкции KB, тоннель отлично поднялся. С KN-1010 пингуется второй конец (микротик), со стороны микротика подсеть кинетика не пингуется... Подсети 192.168.131.0/24 на кинетике, 192.168.133.0/24 на микротике. Со стороны микротика создано стандартное правило firewall, отключающее NAT для пакетов на интерфейс кинетика, поднято наверх в разделе NAT:
/ip firewall nat add src-address=192.168.133.0/23 dst-address=192.168.131.0/24 action=accept chain=srcnat
Похоже, проблема упирается именно в кинетик :) Между двумя кинетиками тоннель вообще поднимается по щелчку пальцев и все компьютеры за обеими подсетями друг друга видят....
Вторая интересная проблема - есть две точки, на обеих KN-1010. Одна из них PPoE с белым адресом, вторая - статический белый адрес. Тоннель от третьей точки (от микротика) ко второй поднимается мгновенно, к первой - NO PROPOSAL CHOSEN. Настройки одни и те же (за исключением разных адресов peer в микротике и подсетей в policy, proposals также выбираются из одного и того же профиля). А, и естественно между двумя гигами тоннель поднимается и работает без вопросов. Что же за зверь такой микротик, в котором все настраивается с адским бубном? :(
-
On 6/11/2020 at 6:01 PM, Le ecureuil said:
1420 пойдет.
Прям огромное спасибо
1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем.
-
On 6/11/2020 at 11:05 AM, Le ecureuil said:
TCP MSS clamping
А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec?
-
Или это признак того, что у меня не работает установленная опция фрагментации пакетов (команда в cli)?
-
On 6/11/2020 at 1:31 AM, KorDen said:
нет лишней фрагментации
У меня команда ping <узел на другой стороне> -f -l 1400 даже при таком параметре дает пропуски пакетов. Максимальный размер опытным путем получается 1372 без каких-либо потерь. Можно ли снизить MTU до этого значения во всем сегменте L2 или это нерациональное решение?
-
On 6/11/2020 at 12:02 AM, Le ecureuil said:
Выкинуть netbios и сделать все по IP, нет?
А подскажите примерный сценарий? Раньше был просто IPSec тоннель средствами веб-интерфейса кинетика и две подсети 192.168.132.0/24 и 192.168.131.0/24, работало по ip-адресам (файловые ресурсы через \\адрес хоста). 1С работало через веб-сервер тонким клиентом. Теперь тоннель EoIP поверх ipsec в рамках одной подсети 192.168.132.0/24 (четко по инструкции в первом посте темы, с исправлением MTU на интерфейсе на 1500). Все сервисы работают по нетбиос, кроме 1С (даже если ей указать в качестве сервера приложений нетбиос имя либо ip хоста из локальной подсети на другом конце). Видимо, причина в размере пакетов, как подсказано выше, и это ограничение самой технологии EoIP?
-
23 hours ago, KorDen said:
@Mr. Grey, а вы EoIP бриджом с Home заводили именно из-за острой необходимости единого Broadcast-сегмента? В таком виде ведь каждый пакет > 1400 байт или около того фрагментируется на два. У UDP-видео длина пакета сильно меньше, а вот TCP с большими размерами сегментов естественно отправляет с максимальным размером пакета, т.е. фрагментируется дважды. Если есть возможность избежать использования одного Broadcast-домена, за нее на больших скоростях надо ухватываться обеими руками..
Вы имеете ввиду, что лучше создать две подсети и настроить маршрутизацию, чем объединять сегменты в Bridge вместе с EoIP0? У меня просто и без этого IPSec тоннель замечательно работал около года (бэкапы между точками), но доступ соответственно был только по ip, а захотелось по netbios + возможность дублирования SQL-серверов. Расскажите, как сделать иную схему?
-
В итоге все завелось, доступ к SQL через нетбиос имя мгновенный, но тонкий клиент 1С тормозит при указании базы SQL на другом конце тоннеля. IPTV и прочий видеопоток работает безукоризненно, нагрузка примерно 20 Мб/c в мониторе кинетика. Никаких правил маршрутизации и сетевого экрана ведь указывать не нужно, если EoIP0 на обеих концах включен в Home bridge, трафик без ограничений ходит внутри такой сети?
-
On 6/10/2020 at 6:28 PM, romzzzo said:
Попробуйте выставить принудительно MTU 1500. Имейте ввиду, что установка происходит только после рестарта туннеля.
Благодарю, получилось после рестарта обоих кинетиков. Mtu и на EoIP0, и на Home сегменте стало 1500. Все по https заработало, но SQL-сервер все еще не хочет работать по сети/подключаться экземпляр в management studio... Не пойму, что ему мешает?
-
Подскажите, настроил EoIP over IPSeC по статье KB на двух KN-1010. На обеих белый IP, все поднялось, скорость тоннеля доходит до 160 Мб/с (при тарифе у одного провайдера 200 и у другого 500). Все работает, широковещательный трафик тоже проходит. Задержка между узлами 2-3 мс, т.к. роутеры стоят в пределах города. Но не работает SQL-сервер, получаю "TCP таймаут семафора", и некоторые вещи по https на другом конце тоннеля (например, веб-клиент esxi). В какую сторону копать? MTU по умолчанию автоматически настроенный тоннель выставил в 1416.
Или есть способ пересобрать компоненты без повышения релиза? В веб-интерфейсе я такого не заметил. В техподдержке подсказали другой способ победить проблему - ip sip alg port 65535 (перенаправить на другой порт), в результате 5060 освободился, плюс пробросил 10 000 - 11 000 по рекомендации Эртелекома для речевых сообщений. В итоге все заработало!
Возможность пускать клиентов VPN по определенному интернет-подключению
in Развитие
Posted
Тоже голосую "за" идею. Пока приходится делать нужное для VPN-клиентов подключение к интернету ОСНОВНЫМ, а домашних пользователей пускать через резервное.