Mr. Grey

Тоже голосую "за" идею. Пока приходится делать нужное для VPN-клиентов подключение к интернету ОСНОВНЫМ, а домашних пользователей пускать через резервное.

Потому что при пересборке происходит повышение до legacy 2.16 Или есть способ пересобрать компоненты без повышения релиза? В веб-интерфейсе я такого не заметил. В техподдержке подсказали другой способ победить проблему - ip sip alg port 65535 (перенаправить на другой порт), в результате 5060 освободился, плюс пробросил 10 000 - 11 000 по рекомендации Эртелекома для речевых сообщений. В итоге все заработало! Спасибо, попробую разные параметры vpn-server lcp echo + еще ответит поддержка, я им приложил self-test и лог с одного из новых кинетиков на точке.

PPTP-клиенты микротики. В логах микротиков keepalive timeout, соответственно клиент разрывает соединение и пересоединяется. Откатился на кинетике обратно на старую прошивку, разрывы прекратились. Возможно есть смысл обновить routerOS на клиентах? А по телефонии можете сказать? Я так понял, что sip alg - это системный компонент и просто так его отключить без пересборки прошивки не получится (странно, конечно, на копеечных роутерах просто галочка снимается)

С ним база yealink то пропускала звонки, то недоступна (и входящие и исходящие). Причем статус регистрации у voip шлюза всегда был registered. База за NATом кинетика, шлюз эртелеком.

Конфиг я всегда сохраняю, а firmware можно скачать без проблем. Спасибо, попробую ночью. P.S. Да уж, обновился. Целью было всего лишь убрать SIP ALG из прошивки, но к сожалению просто удалить компонент невозможно, только апгрейдом с галочкой нужных компонентов...

Если выполнить > components list legacy > components commit То рабочий конфиг не упадет и список компонентов останется прежним? Так можно даунгрейд сделать с 3.6?

Обновился до новой 3.6 прошивки. Две гиги KN-1010, IPSec между ними. Раньше была 2.13, все было хорошо.... Теперь при копировании файлов нагрузка на проц до 40 %. Обновлялся поверх, чтобы сохранить старый конфиг (очень много учеток PPTP, тоннелей, маршрутов). Что могло случиться? Шифрование AES-128/MD5. Раньше в логах можно было увидеть работу cryptoengine, теперь ничего. И еще теперь PPTP-сервер примерно каждые 5 минут рвет на секунду соединение, затем клиент с той стороны его поднимает. Естественно в этот промежуток потеря пакетов. В логах vpn0:"имя пользователя PPTP": failed to get interface statistics Что за беда с этими 3.Х, прям хоть обратно откатывайся :(

Та же фигня, но за кинетиком стоит Centos с Apache (для веб-публикации баз 1С). На самом кинетике http-порт сменен на 8080. Пытаюсь пробросить, скажем, 30000 порт на внутренний 80 (для апача) - тишина. При этом (!) когда был установлен IIS, то порты без проблем пробрасывались.... Магия какая-то :) Во внутренней сети по внутреннему IP апач отвечает и доступен, извне по "белый ip:30000" - НЕТ.

Мне проще будет микротик отдать рулить москвичам (которые и попросили ЭТО поставить для связи с их головным микротиком), а клиентов на гигу пускать по PPTP-клиенту Windows. Вопрос, насколько надежно такое подключение (в плане стабильности, а не безопасности)? Не будет ли оно часто разрываться? P.S. Перечитал немало статей, но так и не нашел способ подружить микротик и кинетик. По поводу второго вопроса - может ли быть так, что MTU в случае с PPoE не дает установить тоннель с микротиком? В логах микротика сообщения, что невозможно установить даже фазу 1.

Добрый день :) Есть микротик серии CRS и Giga KN-1010. На обоих белые внешние IP-адреса. Создал IPSec-тоннель, сконфигурировал proposals, peer на микротике, policy между подсетями. На гиге как обычно по стандартной инструкции KB, тоннель отлично поднялся. С KN-1010 пингуется второй конец (микротик), со стороны микротика подсеть кинетика не пингуется... Подсети 192.168.131.0/24 на кинетике, 192.168.133.0/24 на микротике. Со стороны микротика создано стандартное правило firewall, отключающее NAT для пакетов на интерфейс кинетика, поднято наверх в разделе NAT: /ip firewall nat add src-address=192.168.133.0/23 dst-address=192.168.131.0/24 action=accept chain=srcnat Похоже, проблема упирается именно в кинетик :) Между двумя кинетиками тоннель вообще поднимается по щелчку пальцев и все компьютеры за обеими подсетями друг друга видят.... Вторая интересная проблема - есть две точки, на обеих KN-1010. Одна из них PPoE с белым адресом, вторая - статический белый адрес. Тоннель от третьей точки (от микротика) ко второй поднимается мгновенно, к первой - NO PROPOSAL CHOSEN. Настройки одни и те же (за исключением разных адресов peer в микротике и подсетей в policy, proposals также выбираются из одного и того же профиля). А, и естественно между двумя гигами тоннель поднимается и работает без вопросов. Что же за зверь такой микротик, в котором все настраивается с адским бубном? :(

Прям огромное спасибо 1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем.

А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec?

Или это признак того, что у меня не работает установленная опция фрагментации пакетов (команда в cli)?

У меня команда ping <узел на другой стороне> -f -l 1400 даже при таком параметре дает пропуски пакетов. Максимальный размер опытным путем получается 1372 без каких-либо потерь. Можно ли снизить MTU до этого значения во всем сегменте L2 или это нерациональное решение?

А подскажите примерный сценарий? Раньше был просто IPSec тоннель средствами веб-интерфейса кинетика и две подсети 192.168.132.0/24 и 192.168.131.0/24, работало по ip-адресам (файловые ресурсы через \\адрес хоста). 1С работало через веб-сервер тонким клиентом. Теперь тоннель EoIP поверх ipsec в рамках одной подсети 192.168.132.0/24 (четко по инструкции в первом посте темы, с исправлением MTU на интерфейсе на 1500). Все сервисы работают по нетбиос, кроме 1С (даже если ей указать в качестве сервера приложений нетбиос имя либо ip хоста из локальной подсети на другом конце). Видимо, причина в размере пакетов, как подсказано выше, и это ограничение самой технологии EoIP?

Вы имеете ввиду, что лучше создать две подсети и настроить маршрутизацию, чем объединять сегменты в Bridge вместе с EoIP0? У меня просто и без этого IPSec тоннель замечательно работал около года (бэкапы между точками), но доступ соответственно был только по ip, а захотелось по netbios + возможность дублирования SQL-серверов. Расскажите, как сделать иную схему?

В итоге все завелось, доступ к SQL через нетбиос имя мгновенный, но тонкий клиент 1С тормозит при указании базы SQL на другом конце тоннеля. IPTV и прочий видеопоток работает безукоризненно, нагрузка примерно 20 Мб/c в мониторе кинетика. Никаких правил маршрутизации и сетевого экрана ведь указывать не нужно, если EoIP0 на обеих концах включен в Home bridge, трафик без ограничений ходит внутри такой сети?

Благодарю, получилось после рестарта обоих кинетиков. Mtu и на EoIP0, и на Home сегменте стало 1500. Все по https заработало, но SQL-сервер все еще не хочет работать по сети/подключаться экземпляр в management studio... Не пойму, что ему мешает?

Подскажите, настроил EoIP over IPSeC по статье KB на двух KN-1010. На обеих белый IP, все поднялось, скорость тоннеля доходит до 160 Мб/с (при тарифе у одного провайдера 200 и у другого 500). Все работает, широковещательный трафик тоже проходит. Задержка между узлами 2-3 мс, т.к. роутеры стоят в пределах города. Но не работает SQL-сервер, получаю "TCP таймаут семафора", и некоторые вещи по https на другом конце тоннеля (например, веб-клиент esxi). В какую сторону копать? MTU по умолчанию автоматически настроенный тоннель выставил в 1416.