Mr. Grey

Тоже голосую "за" идею. Пока приходится делать нужное для VPN-клиентов подключение к интернету ОСНОВНЫМ, а домашних пользователей пускать через резервное.

Потому что при пересборке происходит повышение до legacy 2.16 Или есть способ пересобрать компоненты без повышения релиза? В веб-интерфейсе я такого не заметил. В техподдержке подсказали другой способ победить проблему - ip sip alg port 65535 (перенаправить на другой порт), в результате 5060 освободился, плюс пробросил 10 000 - 11 000 по рекомендации Эртелекома для речевых сообщений. В итоге все заработало! Спасибо, попробую разные параметры vpn-server lcp echo + еще ответит поддержка, я им приложил self-test и лог с одного из новых кинетиков на точке.

PPTP-клиенты микротики. В логах микротиков keepalive timeout, соответственно клиент разрывает соединение и пересоединяется. Откатился на кинетике обратно на старую прошивку, разрывы прекратились. Возможно есть смысл обновить routerOS на клиентах? А по телефонии можете сказать? Я так понял, что sip alg - это системный компонент и просто так его отключить без пересборки прошивки не получится (странно, конечно, на копеечных роутерах просто галочка снимается)

С ним база yealink то пропускала звонки, то недоступна (и входящие и исходящие). Причем статус регистрации у voip шлюза всегда был registered. База за NATом кинетика, шлюз эртелеком.

Конфиг я всегда сохраняю, а firmware можно скачать без проблем. Спасибо, попробую ночью. P.S. Да уж, обновился. Целью было всего лишь убрать SIP ALG из прошивки, но к сожалению просто удалить компонент невозможно, только апгрейдом с галочкой нужных компонентов...

Если выполнить > components list legacy > components commit То рабочий конфиг не упадет и список компонентов останется прежним? Так можно даунгрейд сделать с 3.6?

Обновился до новой 3.6 прошивки. Две гиги KN-1010, IPSec между ними. Раньше была 2.13, все было хорошо.... Теперь при копировании файлов нагрузка на проц до 40 %. Обновлялся поверх, чтобы сохранить старый конфиг (очень много учеток PPTP, тоннелей, маршрутов). Что могло случиться? Шифрование AES-128/MD5. Раньше в логах можно было увидеть работу cryptoengine, теперь ничего. И еще теперь PPTP-сервер примерно каждые 5 минут рвет на секунду соединение, затем клиент с той стороны его поднимает. Естественно в этот промежуток потеря пакетов. В логах vpn0:"имя пользователя PPTP": failed to get interface statistics Что за беда с этими 3.Х, прям хоть обратно откатывайся :(

Та же фигня, но за кинетиком стоит Centos с Apache (для веб-публикации баз 1С). На самом кинетике http-порт сменен на 8080. Пытаюсь пробросить, скажем, 30000 порт на внутренний 80 (для апача) - тишина. При этом (!) когда был установлен IIS, то порты без проблем пробрасывались.... Магия какая-то :) Во внутренней сети по внутреннему IP апач отвечает и доступен, извне по "белый ip:30000" - НЕТ.

Мне проще будет микротик отдать рулить москвичам (которые и попросили ЭТО поставить для связи с их головным микротиком), а клиентов на гигу пускать по PPTP-клиенту Windows. Вопрос, насколько надежно такое подключение (в плане стабильности, а не безопасности)? Не будет ли оно часто разрываться? P.S. Перечитал немало статей, но так и не нашел способ подружить микротик и кинетик. По поводу второго вопроса - может ли быть так, что MTU в случае с PPoE не дает установить тоннель с микротиком? В логах микротика сообщения, что невозможно установить даже фазу 1.

Добрый день :) Есть микротик серии CRS и Giga KN-1010. На обоих белые внешние IP-адреса. Создал IPSec-тоннель, сконфигурировал proposals, peer на микротике, policy между подсетями. На гиге как обычно по стандартной инструкции KB, тоннель отлично поднялся. С KN-1010 пингуется второй конец (микротик), со стороны микротика подсеть кинетика не пингуется... Подсети 192.168.131.0/24 на кинетике, 192.168.133.0/24 на микротике. Со стороны микротика создано стандартное правило firewall, отключающее NAT для пакетов на интерфейс кинетика, поднято наверх в разделе NAT: /ip firewall nat add src-address=192.168.133.0/23 dst-address=192.168.131.0/24 action=accept chain=srcnat Похоже, проблема упирается именно в кинетик :) Между двумя кинетиками тоннель вообще поднимается по щелчку пальцев и все компьютеры за обеими подсетями друг друга видят.... Вторая интересная проблема - есть две точки, на обеих KN-1010. Одна из них PPoE с белым адресом, вторая - статический белый адрес. Тоннель от третьей точки (от микротика) ко второй поднимается мгновенно, к первой - NO PROPOSAL CHOSEN. Настройки одни и те же (за исключением разных адресов peer в микротике и подсетей в policy, proposals также выбираются из одного и того же профиля). А, и естественно между двумя гигами тоннель поднимается и работает без вопросов. Что же за зверь такой микротик, в котором все настраивается с адским бубном? :(

Прям огромное спасибо 1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем.

А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec?

Или это признак того, что у меня не работает установленная опция фрагментации пакетов (команда в cli)?

У меня команда ping <узел на другой стороне> -f -l 1400 даже при таком параметре дает пропуски пакетов. Максимальный размер опытным путем получается 1372 без каких-либо потерь. Можно ли снизить MTU до этого значения во всем сегменте L2 или это нерациональное решение?

А подскажите примерный сценарий? Раньше был просто IPSec тоннель средствами веб-интерфейса кинетика и две подсети 192.168.132.0/24 и 192.168.131.0/24, работало по ip-адресам (файловые ресурсы через \\адрес хоста). 1С работало через веб-сервер тонким клиентом. Теперь тоннель EoIP поверх ipsec в рамках одной подсети 192.168.132.0/24 (четко по инструкции в первом посте темы, с исправлением MTU на интерфейсе на 1500). Все сервисы работают по нетбиос, кроме 1С (даже если ей указать в качестве сервера приложений нетбиос имя либо ip хоста из локальной подсети на другом конце). Видимо, причина в размере пакетов, как подсказано выше, и это ограничение самой технологии EoIP?