1
Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává
« kdy: 28. 06. 2021, 13:01:50 »
meldax: tunel jede na standard portech. Samozřejmě mohu zkusit i nonstandard, to jsem nezkoušel. Ale nejdřív večer
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
Stran: [1]
2
Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává
« kdy: 28. 06. 2021, 12:59:29 »
Wireguard fajn, ale jednak je jen v ROS 7 (zatím jedeme finální verze 6.x) a druhak bych rád stabilní řešení, který posadím i proti jiným standardním routerům, nejen Mikrotik - Cisco a pod., kde Wireguard nejspíš nikdy nebude.
3
Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává
« kdy: 28. 06. 2021, 11:43:45 »
Dobrý den,
diky za odpověď, vstoupim do diskuze za kolegu, jsem ten kdo to konfiguroval.
Ve chvíli, kdy to přestane fungovat se tunel stále tváří na obou stranách jako established. Ping funguje oboustranně, a odpovídá realitě, tzn. i ze strany, kde přestanou fungovat určité typy komunikace, ping přes tunel funguje jen proti "živým" zařízením druhé strany. Většinou fungují i DNS dotazy na DNS server na druhé straně. Přestanou jakoby fungovat přenosy s větší velikostí packetu, resp. na MTU máme podezření. Zkoušeli jsme laborovat s nastavením MTU na VDSL Vodafone (na PPPoE interface mikrotiku), ze standardních auto 1480 na 1492, výsledek stále tentýž. Navíc ping s nastavenou velikostí packetu a zákazem fragmentace prochází ikdyž nastane problém. Teď to, po prvním problémovém týdnu, jelo skoro měsíc v podstatě bez problémů a nyní to opět začalo blbnout, je třeba udělat několik restartů tunelu denně. Nastavoval jsem a mám ve správě v podstatě několik desítek tunelů přes VDSL v režimu bridge, na Cisco i Mikrotik routerech, které jedou bez problémů, ale to je vše na VDSL přímo od O2, od Vodafone jinde nic nemám, tak mi chybí konkrétní zkušennost s provozem. Samozřejmě může být problém i s NATem u poskytovatele druhé strany, to ale bohužel težko ovlivníme. Většinou stačí restart tunelu, jen vyjímečně je třeba i restart PPPoE spojení přes Vodafone VDSL.
Konfigurace je Main, na straně VDSL (strana, která vykazuje ten problém) je modem v režimu Bridge, na Mikrotiku je veřejná IP přes PPPoE, druhá strana je připojena lokálním WiFi providerem, který používá pro klienty lokální adresy a NATuje je na svém rozhraní, z veřejné adresy vyhrazené pro konkrétního klienta.
Jelikož se nám nedaří najít příčinu, pro automatický restart tunelu jsem udělal script využívající toho, že při problému nefunguje fetch webové stránky z protistrany, takže to cyklicky v intervalech testuje a když to neprojde restartne tunel. Ale samozřejmě bychom raději našli podstatu problému a nehasili jen následky.
diky za odpověď, vstoupim do diskuze za kolegu, jsem ten kdo to konfiguroval.
Ve chvíli, kdy to přestane fungovat se tunel stále tváří na obou stranách jako established. Ping funguje oboustranně, a odpovídá realitě, tzn. i ze strany, kde přestanou fungovat určité typy komunikace, ping přes tunel funguje jen proti "živým" zařízením druhé strany. Většinou fungují i DNS dotazy na DNS server na druhé straně. Přestanou jakoby fungovat přenosy s větší velikostí packetu, resp. na MTU máme podezření. Zkoušeli jsme laborovat s nastavením MTU na VDSL Vodafone (na PPPoE interface mikrotiku), ze standardních auto 1480 na 1492, výsledek stále tentýž. Navíc ping s nastavenou velikostí packetu a zákazem fragmentace prochází ikdyž nastane problém. Teď to, po prvním problémovém týdnu, jelo skoro měsíc v podstatě bez problémů a nyní to opět začalo blbnout, je třeba udělat několik restartů tunelu denně. Nastavoval jsem a mám ve správě v podstatě několik desítek tunelů přes VDSL v režimu bridge, na Cisco i Mikrotik routerech, které jedou bez problémů, ale to je vše na VDSL přímo od O2, od Vodafone jinde nic nemám, tak mi chybí konkrétní zkušennost s provozem. Samozřejmě může být problém i s NATem u poskytovatele druhé strany, to ale bohužel težko ovlivníme. Většinou stačí restart tunelu, jen vyjímečně je třeba i restart PPPoE spojení přes Vodafone VDSL.
Konfigurace je Main, na straně VDSL (strana, která vykazuje ten problém) je modem v režimu Bridge, na Mikrotiku je veřejná IP přes PPPoE, druhá strana je připojena lokálním WiFi providerem, který používá pro klienty lokální adresy a NATuje je na svém rozhraní, z veřejné adresy vyhrazené pro konkrétního klienta.
Jelikož se nám nedaří najít příčinu, pro automatický restart tunelu jsem udělal script využívající toho, že při problému nefunguje fetch webové stránky z protistrany, takže to cyklicky v intervalech testuje a když to neprojde restartne tunel. Ale samozřejmě bychom raději našli podstatu problému a nehasili jen následky.
4
Sítě / Mikrotik IPSEC tunnel site-to-site vypadává
« kdy: 28. 06. 2021, 09:34:20 »
Zdravím,
prosím neřešil někdo problém, se kterým se právě potýkám a jsem bezradný?
dvě lokality 2x RB4011iGS+RM na straně 1 radiový spoj (místní provider) na straně 2 (DSL Vodafone)
Tunel je funkční vše běží, do doby než z jedné strany (DSL) přestanou fungovat služby, nelze se dostat na sdilené složky, nelze použít žádné webové rozhraní na straně 1 na žádném IP zařízení (NVR, NAS, TISKARNY atd.) v tomto stavu ping na daná zařízení odpovídá a nedochází ke ztrátám, ze strany 1 na stranu 2 vše funguje jak má, toto se děje prakticky každé ráno, pro obnovení stavu musím krátce vypnout a opětovně zapnout IPSEC tunel, pak vše běží opět do dalšího rána, avšak ani to nebývá pravidlem, někdy komunikace funguje 2 dny někdy je potřeba restartovat tunel 2x denně.
Díky za každé relevantní moudro.
prosím neřešil někdo problém, se kterým se právě potýkám a jsem bezradný?
dvě lokality 2x RB4011iGS+RM na straně 1 radiový spoj (místní provider) na straně 2 (DSL Vodafone)
Tunel je funkční vše běží, do doby než z jedné strany (DSL) přestanou fungovat služby, nelze se dostat na sdilené složky, nelze použít žádné webové rozhraní na straně 1 na žádném IP zařízení (NVR, NAS, TISKARNY atd.) v tomto stavu ping na daná zařízení odpovídá a nedochází ke ztrátám, ze strany 1 na stranu 2 vše funguje jak má, toto se děje prakticky každé ráno, pro obnovení stavu musím krátce vypnout a opětovně zapnout IPSEC tunel, pak vše běží opět do dalšího rána, avšak ani to nebývá pravidlem, někdy komunikace funguje 2 dny někdy je potřeba restartovat tunel 2x denně.
Díky za každé relevantní moudro.
Stran: [1]
