Jump to content
  • 0

Въпрос

windwalker78

       Здравейте,
    
       Ползваме от години един ipsec тунел на версия 5.25. Сменихме скоро доставчика на интернет на едното място и сега всеки ден тунела пада и лошото е че се вдига само с рестарт на оборудването от страна на новия доставчик. Flush SAs и Kill peer connection не помагат. Обикновено като падне тунела съобщението е packet rejected, а много ясно никой нищо не е пипал по firewall. Това е конфига

Моля, влезте или се регистрирайте, за да видите този code.

Имаме и l2tp тунел за road warriors, който също пада по-често, но поне може да се свържат при retry.

Някакви идеи? 

Поздрави

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

5 отговори на този въпрос

Recommended Posts

  • 0
windwalker78

Това виждам в лога:
 

Моля, влезте или се регистрирайте, за да видите този code.

След като спрях ipsec от двете страни и направих само читавата initiator се разминах с рестарт. Пробвах и tracert на udp 500 и мина успешно.

Някаква идея какво да погледна или да кажа на ISP?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Пусни един паралелен тунел и пусни постоянен трафик.
и сравнявай как се държи когато пада IPSEC-a

Ползвай си SSTP да си нямаш ядове

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
Преди 7 часа, windwalker78 написа:

Това виждам в лога:
 

Моля, влезте или се регистрирайте, за да видите този code.

След като спрях ipsec от двете страни и направих само читавата initiator се разминах с рестарт. Пробвах и tracert на udp 500 и мина успешно.

Някаква идея какво да погледна или да кажа на ISP?

Подобен проблем имах и аз .Решението в моя случай бе просто - сетнах часа и на двата борда , като ползват един и същ NTP сървър след като ги ъпнах до еднакъв стейбъл рилийз на ROS !

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
windwalker78
On 4/30/2018 at 7:51 PM, JohnTRIVOLTA said:

Подобен проблем имах и аз .Решението в моя случай бе просто - сетнах часа и на двата борда , като ползват един и същ NTP сървър след като ги ъпнах до еднакъв стейбъл рилийз на ROS !

 

Благодаря за съвета. NTP си имаше. Вдигнах версията на рутерите до 6.42.1 и като цяло не се подобриха особено нещата. Явно си остава проблема в ISPто. Засега го мигрирах към OpenVPN, че поне се вдига всеки път. IPsec някога зависва и не се вдига.

Виждате ли минус (производителност или нещо друго) в това да заместя IPsec с OpenVPN? За момента нещата са по-стабилни.

 

Редактирано от windwalker78

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ReunioN

А пробва ли за IPsec-a да ползваш IKE2 , а не main mode? IKE2  е доста по-умен и надежден от към автоматизация при отпадане на тунел.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Similar Content

    • bgtelekom
      От bgtelekom
      Здравейте,
      Имам един доста конкретен въпрос и по - точно какъв е метода за разрешаване на въпросният проблем. Все още съм начинаещ и не разбирам напълно функционалността на микротик тунелите и pptp връзката.
      Случаят е следният: Имаме един рутер в София(централният рутер) с публично IP (примерно 90.90.90.90), а вторият е в Казанлък с интернет от доставчик, който отказва да даде статично IP на рутера и той е по DHCP. В цялата мрежа са вързани голям брой рутери от различни градове с различни доставчици. На този втори рутер има вързан DVR с камери. Задачата е да свържем този рутер в Казанлък с този в София, за да могат да се гледат камерите от София. 
      Вероятно ще трябва да стане с DDNS понеже не мога да задам статично IP. 
      Бих бил много благодарен, ако разбера стъпките как трябва да се случи това! Благодаря предварително!
       
      С уважение,
      Борис Недялков.
    • mr_joker
      От mr_joker
      Здравейте,
      Може ли малко помощ. До скоро имах два рутера флашнати с DD-WRT - в офиса и в къщи и правех EoIP връзка по между им и като отворя файл експлорера виждах наредени всичките ми компютри зад рутерите и шернатите папки в тях. Сега смених рутерите с Микротици, като за целта съм напрвил L2TP тунел. (Забележете, че мрежите не са в един сегмент.) Не искам клиента да черпи интернет от сървъра, защото всеки рутер е вързан към PPOE доставчик на интернет.
      Къща (Сървър), Windows 7, ESET Smart Security 10
      Public IP: 1.1.1.1, Gateway:172.16.1.1, DHCP Pool:172.16.1.150-254
      Офис (Клиент), Windows XP, Windows Firewall
      Public IP: 2.2.2.2, Gateway:172.16.2.1, DHCP Pool:172.16.2.150-254
      НАСТРОЙКИ Kъща:
      Моля, влезте или се регистрирайте, за да видите този code.

      НАСТРОЙКИ Офис:
      Моля, влезте или се регистрирайте, за да видите този code.
      ПРОБЛЕМ 1:
      За да има пинг до всеки компютър трябваше да ги разреша РЪЧНО в антивирусната и защитната стена, докато при DD-WRT-то не съм парвил нищо и пак се виждаха компютрите по между си.
      Къща->windows 7->ESET->Разширени настройки->ЛИЧНА ЗАЩИТНА СТЕНА->РАЗШИРЕНИ->Зони->Редактиране->Доверена зона->Редактиране->Адрес на отдалечен компютър:172.16.2.0/24
      Офис->Windows XP->Control Panel->Security Center->Windows Firewall->Exceptions->File and Printer Sharing->Edit->Port 445->Change scope->Custom list:172.16.1.0/24
      ВЪПРОС 1: Как да настроя микротиците без да настройвам антивирусната и файъруола?
      --------
      ПРОБЛЕМ 2:
      Компютрите не искат да се наредят автоматично във Файл експлорера->Мрежа
      --------
      ПРОБЛЕМ 3:
      Компютрите се виждат само чрез IP адреса им и не могат чрез името си, докато при DD-WRT се виждаха с имената си:

      Моля, влезте или се регистрирайте, за да видите този link.
      вместо Моля, влезте или се регистрирайте, за да видите този link.
      ВЪПРОС 3: Как да настроя микротиците за да се виждат компютрите в общата мрежа чрез имената си?
      --------
      ПРОБЛЕМ 4:
      Когато компютър влезе в "стенд бай" режим (изгаснал му е екрана след 15-тата минута, но не и харда (след 30-тата)), но не е заспал, вече няма пинг до него, като при DD-WRT имаше пинг.
      --------
      Пуснал съм UpNP и на двата рутера с ether1: external и bridge: internal
      Всички правила във файъруола са след ресет и няма добавено нищо освен в Mangle:
      ---- Когато някой сайтове не искат да се отварят:
      Правилата трябва да са най-отгоре, като изтривам динамичните създадени от Микротик
      Моля, влезте или се регистрирайте, за да видите този code.
      Да ползвам долното а не горното, че генерира много голям трафик може би заради all-ppp
      Моля, влезте или се регистрирайте, за да видите този code.
      --------
      ТЕСТОВЕ:
      Тествах с различни вариации на долните правила, но без успех, като или нямаше никакъв ефект или разкачаха връзката. Променях ETH1 и Bridge интерфейсите на ARP-Proxy и на двата рутера, на пак без успех.
      /ip firewall nat (не минава никакъв трафик през това!!!) add disabled=yes action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - test !!!" /ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!) add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders Моля, влезте или се регистрирайте, за да видите този link.
      -f -l 1452 Proper MTU: 1452+28=1480 Къща & Офис за
      Моля, влезте или се регистрирайте, за да видите този link.

      Proper MTU: 1394+28=1422 Къща & Офис за Local network netsh interface ipv4 set subinterface "Local Area Connection" mtu=1480 store=persistent
      netsh interface ipv4 set subinterface "Wireless Network Connection" mtu=1480 store=persistent
      netsh interface ipv4 set subinterface "Bluetooth Network Connection" mtu=1480 store=persistent
      DEFAULT: eth1=pppoe-out1, eth2=bridge - MTU=1500, L2MTU=1598
      NEW:  eth1=pppoe-out1, eth2=bridge - MTU=1422
      ======================================
      Това което си мисля, че ми се изясни от четенето в нета е, че трябва да разреша по някаъв начин broadcast трафика и другото е, че WINS сървър не ми трябва. Моля, да ми помогнете да реша проблемите.
    • cifron
      От cifron
      Здравейте.
      Имам изграден VPN по L2TP/IPsec. Станното е, че всеки път при достигане на точно 177,00MB трансфер /например при сваляне на голям файл/ копирането спира и тунела се drop-ва. Използвам вградения  L2TP/IPsec на Windows. ОС  е Windows 7 64bit. Това става и при свързване към рутера по Wi-Fi, по кабел и директно към ISP без рутер.
      Другото странно е че когато се използва L2TP без IPsec се прехвърля целият файл от 3800MB.
      При същата конфигурация и през същия рутер през таблет или  GSM SAMSUNG Galaxy S4 и вградения в  Android VPN клиент няма проблем и се копира отново целия файл.
      При VPN PPTP или openVPN също няма проблеми и се копира целия файл. Единственно при VPN с L2TP/IPsec през Windows 7 се получава това отрязване при достигане на точно 177.00MB.
      Изглежда това е някакво ограничение на Windows-а.
      Ако някой има идея за решаване на проблема ще бъда благодарен ако я сподели

      Моля, влезте или се регистрирайте, за да видите този attachment.

      Моля, влезте или се регистрирайте, за да видите този attachment.
    • Amihaylov
      От Amihaylov
      Здравейте,
      Извинявам се ако въпроса е коментиран вече. Опитвам се да осъщества IPsec тунел между два офиса, в единия имам RB2011UiAS-RM с лан мрежа 192.168.0.0/24, а в другия рутер Sonicwall TZ105 с лан мрежа 192.168.6.0/24,  като идеята е офис1 който е с микротик да има достъп до NAS който е зад sonicwall.
      Ipsec тунела към момента е осъществен, но имам само и единствено ping до всички устройства зад sonicwall-a, но нямам ping от устройствата зад sonicwall към тези зад MikroTik
      Моля, влезте или се регистрирайте, за да видите този code.
      Какво пропускам?
       
      Благодаря ви предварително !
       
  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.