MikroTik IKEv2 VPN koncentrátor s autorizací Free Radius

Dobry den, dovoluji si pozadat o vas nazor pripadne i placeny support mikrotiku.

Mame Mikrotik Ikev2 VPN koncentrator s Free Radius autorizaci.
Kde resim probem pri nacitani webovych stranek napr, seznam.cz - pri skrolovani strankou se velice pomalu ci spise vubec nenacita obsah webu.

Zkousel jsem bandwitch test z klientskeho mikrotika na VPN koncentrator. Test po nejake dobe bezi plne rychlosti linky krom UDP receive, kdy je prenos temer nulovy. Tzn. stazeni UDP ve smeru ke klientovi temer neprobiha.

CFG VPN Koncentratoru:

Kód: [Vybrat]
/ip ipsec mode-config
add address-pool=VPN_pool address-prefix-length=32 name=mode-config_VPN \
    split-include=0.0.0.0/0 static-dns=8.8.8.8 system-dns=no
/ip ipsec policy group
add name=group_VPN
/ip ipsec profile
add dh-group=ecp256 dpd-interval=disable-dpd enc-algorithm=aes-256 name=\
    profile_VPN
/ip ipsec peer
add comment=IKEv2 exchange-mode=ike2 name=VPN passive=yes profile=\
    profile_VPN send-initial-contact=no
add disabled=yes exchange-mode=ike2 name=peer1-ikev2 passive=yes profile=\
    profile_1
add disabled=yes name=peer8 passive=yes profile=profile_1
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
add enc-algorithms=aes-256-cbc,aes-128-gcm lifetime=1d name=proposal_VPN \
    pfs-group=none
/ip ipsec identity
add auth-method=eap-radius certificate=IKEv2.vpn.server.p12_0 comment=\
    "IkEv2  Z:port_Strict" \
    generate-policy=port-override mode-config=mode-config_VPN peer=VPN \
    policy-template-group=group_VPN
/ip ipsec policy
add dst-address=0.0.0.0/0 group=group_VPN proposal=proposal_VPN src-address=\
    0.0.0.0/0 template=yes
/ip ipsec settings
set xauth-use-radius=yes

Dik Pat
« Poslední změna: 23. 09. 2020, 17:33:39 od Petr Krčmář »


Džan

Re:MikroTik IKEv2 VPN koncentrátor s autorizací Free Radius
« Odpověď #1 kdy: 23. 09. 2020, 19:29:47 »
Pokud jde o přípojku nižším MTU než 1500 (xDSL nebo např. cokoli přes PPPoE) bylo by dobré si zapnout MSS clamping. Tohle samozřejmě nevyřeší UDP.

Citace
/ip firewall mangle
add action=change-mss chain=postrouting new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
« Poslední změna: 23. 09. 2020, 19:31:43 od jeniceek »