Сисадминство: Mikrotik + IPSec + L2TP иногда не разрывается туннель #712656

Добрый день! Вернулся после отпуска и с новыми силами осваиваю RouterBoard. Настроил одному клиенту роутер для выхода в инет плюс удаленный доступ на IPSec+L2TP. Все очень красиво, все работает и нравится, но иногда наблюдаю следующее. После разрыва соединения по L2TP туннель IPSec не обрывается! Соединение есть, присутствуют политики, удаленный пир, ipsec debug packet в логе. А когда удаленного пира пристукнешь принудительно, в логе появляется сообщение: ipsec debug packet: an undead schedule has been deleted. Спецы по микротику и ipsec, расскажите, что это такое?

Да: подопытного зовут Mikrotik RB750GL, ROS 5.26.

Хорошие железки мы потихоньку все кинетики и длинк и заменили 751 и 951

может вот тут тебе помогут, довольно живой форум: у меня с микротиками не сложилось. Имею 951 аппарат, у него маленькая, по сравнению с тем же зикселем кинетик гига производительность, глюки, которые не смог побороть.

спасибо, пригодится! С кинетиком, мне кажется, нет смысла микротики сравнивать. Слишком разный набор функций, да и само назначение. Кинетик это сугубо домашняя игрушка, мало что умеет из нужного на предприятии, но зато умеет бирюльки типа торрент-клиента :) . 951-й микротик я бы сравнил скорее с ZyWall USG 20W. Вот это будет уже примерно в одном весе. Фич у микротика побольше, зато 20W попроще в настройке, постабильнее и в пять раз дороже.

фич больше, но будут ли они стабильно работать? 951й микротик используется дома, вот несколько проблем, с которыми я столкнулся и не решил: - очень частая реинициализации сетевых интерфейсов между компом и микротиком (обрывается локалка и заново соединяется, сетевушки, патч-корд менял, пофиг). Это самая раздражающая проблема; - иногда слетают настройки igmp proxy и перестает работать iptv (приходится запускать winbox и заново все перенастраивать), трансляция iptv по wifi идет с фризами; - маленькая пропускная способность между портами. Например при копировании файлов с одного компа на другой происходит на скорости 30..40 м/с (это при гигабитном-то интерфейсе). Всего этого не наблюдается при использовании zyxel, копирования файлов между компами происходит на скорости 85..90 мб/с. Столкнувшись с этим траблами, настраивать на микротике что-то более серьезное - желание пропало. Хотя, может быть я накосячил с настройками микротика?  х.з. В нете куча хвалебных отзывов о 951-ом, но на самом деле все намного грустнее..

+ в общем, дешево - качественно не бывает. Еще раз в этом убедился

обрывов соединения на 751 не замечал. Скорость при копировании - надо будет потестировать, но все-таки, несмотря на гигабитные порты, не стоит забывать, что это железка нижнего ценового диапазона. У микротика есть и гораздо более серьезные. IGMP мне пока не нужен - на телевидение нет ни времени ни желания. USG 20W его вообще не умеет в текущих прошивках, кстати говоря - и это несмотря на стоимость железки около $400. Да и вообще, сервисы для дома меня мало интересуют, на них не заработаешь, а интересует меня то за что конторы готовы платить. В частности, тот же удаленный доступ защищенный. А вот тут все домашние модели нервно курят...

Оно умеет openvpn из коробки?

да. В интерфейсах можно поднять OVPN Server. Но я пока пробовал только IPSec без L2TP (клиентом выступал ShrewSoft IPSec Client) и IPSec+L2TP.

openvpn у микротика сильно кастрированый (не умеет udp и сжатие lzo) и медленный

В работе с десяток железок стоит проблем не наблюдаем

именно после приобретения микротика проблемы и закончились)...работает стабильно. по поводу всех ваших пунктов - с ними просто можно жить а так верю что давно бы разобрались)) так например тоже имел проблему с отваливающимся инетом, долго мурыжил провайдера пока не попался с той стороны отзывчивый сотрудник, выслали специалиста на место оказалось окисленный контакт на свитче))) сейчас вообще забыл про разрывы то же самое и 30-40 Мб - есть такое но например у меня дома несколько пк, планшеты, телек и пр.; да были другие железки дающие скорость выше, но тут паралельность работы которая не падает))) а про "iptv по wifi идет с фризами" - там фишка есть в инете можно найти как лечить ;)

отваливается не соединение с интернетом (оно как раз работает очень стабильно, ни разу не видел разрывов), а локальная сеть.

-Что значит реинициализация интерфейса? Или просто отваливается сеть время от времени? Микротик умеет писать логи, надо их читать и смотреть что он там пишет по этому поводу. -Никакие настройки никогда не слетали. Он у тебя не перегревается? Может просто экземпляр бракованный попался? Насчет трансляции IPTV c фризами - это разве вина роутера? ИМХО от wifi вообще нельзя ожидать что по умолчанию он будет поток ровно передавать, независимо на чем его поднимать. -Да ну? А какая она должна быть? Давайте разберемся что такое ваш Mikrotik - свич или роутер? Если это свитч то нафига вы на нем вайфай и интернет поднимаете? Если это роутер то нафига вы скорость в мегабитах меряете? У роутера скорость надо в pps мерять, в мегабитах измерять ее бессмысленно.

Если есть желание чтобы локалка работала быстро, то нужно ее строить так чтобы локальные пакеты вообще не попадали на роутер. Т.е компьютеры локалки должны общаться через свич. Ни один роутер не даст такой пропускной способности, т.к он обрабатывает каждый пакет, а не просто раскидывает их на нужные порты. И не стоит путать микротик с  SOHO роутерами у которых несколько LAN портов, вроде того же кинетика. Если взять SOHO кинетик, или скажем д-линк - то это два устройства в одном корпусе: т.е там обычный свич и роутер в одном корпусе. Если компы включены в LAN порты такого роутера, то локальные пакеты вообще не попадают в роутер. Микротик это чисто роутер - у него нет LAN портов как таковых, все порты одинаковы, и со всеми работает роутер. Их можно обьединить в свич программно, но это будет лишь программная эмуляция свича на роутере, со всеми вытекающими последствиями.

в логах пишет следующее: jun/29/2014 18:52:16 ether3-slave-local link down (speed 1G, full duplex) jun/29/2014 18:52:20 ether3-slave-local link up (speed 1G, full duplex) Как по этим логам можно понять почему происходит обрыв/восстановление соединения по локальной сети? Микротик не перегревается, он чуть-чуть теплый. "Насчет трансляции IPTV c фризами - это разве вина роутера?" Почему это фризы при iptv через вайфай - это не вина роутера? На зикселе кинетик их вообще нет, а на микротике картинка замирает/сыпется с интервалом в 10 секунд. Да даже на каком-то дешевом длинке, который у меня сгорел через год после покупки, фризов никогда не было. "Давайте разберемся что такое ваш Mikrotik - свич или роутер?" Предлагаете для соединения домашних компов городить огород из двух устройств? Микротик-свитч-домашние компы?

Я не предлагаю городить огород из двух устройств. Вы сами выбираете то что вам нужно. Но если вы хотите скорости в локалке, то вам нужен свитч, и никаких роутеров. У меня дома стоит обычный такой гигабитный свич от асуса, куда включены все компы и все летает. Роутер в локальной сети нафиг не нужен. Вот между локальной сетью и другими сетями необходим роутер, там он и ставится. Поэтому если вы хотите обойтись одной коробочкой - берите кинетик, д-линк и подобные SOHO устройства. Там уже в одном корпусе на одной плате распаяны два устройства - простенький свич, и роутер. По поводу фризов на вайфае - тут опять же похоже у вас проблема различия свича и роутера. На кинетике вам ничего не надо настраивать - WiFI точка доступа просто воткнута в свич локальной сети и никаких проблем. А в микротике пакет чтобы попасть на нужный девайс сначала пройдет обработку по всем правилам. Т.е надо понимать что в SOHO роутерах типа кинетика такие вещи как трансляция IPTV, настройка интернета, и прочее делается за несколько секунд, в пару кликов мышкой. Ничего делать не надо, все уже сделали за вас, быстро и удобно. Поэтому и SOHO. А в микротике все эти банальные вещи надо нудно и вдумчиво настраивать чтобы оно заработало, никто за вас их предварительно не настраивал.

Т.е ежели вам надо сделать банальную вещь, при минимуму устройств, минимуме настроек и быстро, то ваш выбор - кинетик, и прочие длники.. А вот ежели вам нужна гибкость, вы хотите сделать что нибудь этакое, чего невозможно сделать на обычном SOHO роутере, тогда и нужен mikrotik.

посмотри . Не сталкивался?

+1

Нет, не сталкивался. Но судя по всему это проблема именно ipsec. Точнее  связки ipsec с  конкретной реализацией VPN тоннеля.

точно такой же механизм на ZyWall - никаких "андедов" не создает, ипсек туннель рвется сразу же как поступила информация о разрыве L2TP соединения. Пока непонятно, насколько это критично, хотя ресурсы в любом случае подъедает - нехорошо. Если никакой внятной инфы не найдется - скриптом, наверно, буду удалять раз в сутки, хотя пока неясно как живых от мертвых отделять.

+ и еще заметил - автоматом создаваемые политики IPSec удаляет не всегда по завершению соединения. Иногда почему-то не удаляет, и их накапливается по 3-4 штуки в списке.

говорили/нет - обнови прошивку. systrm-packages-Check for update

А ipsec у тебя как настроен? Смутила фраза "ипсек туннель рвется сразу же" У тебя он что в тоннельном режиме?

нет, конечно, транспортный режим. Настройка в принципе стандартная, примерно так как описано вот здесь: . Отличия если и есть, то минимальные

Кстати, вот тут тоже есть вопрос. Пакеджи поставил последние доступные, это пятерка (см. ). А есть ли смысл обновляться на шестерку?

попробуй с dpd (Dead Peer Detection) поиграть в настройках, в пределах установленного таймера должен разорвать. У нас наоборот происходит - иногда обрыв связи со стороны микрота (электричество, провайдер) и циска не ресесит криптосессию, пришлось прикрутить костыль, в виде скрипта, который раз в 5 минут проверяет живность всех пиров, и через clear crypto session remote IP ресетит сессию ipsec'а Со стороны микрота подписаний ipsec наблюдал раза три за последние пару лет. Можно на микроте вочдога выставить :) Он точно оборвёт, при чём - всё

есть смысл, там очень-очень-очень много ошибок, фич и фиксов с 5ки на 6ку может не обновить автоматом - просто залей 6-ку распакованные файлы (drag'n'drop'ом) в раздел микротовского интерфейса "Files" и рибутни его

Знаешь в чем у меня отличие настройки от стандартной? Я увеличивал DPD maximum failures с 5 до 10, потому что со значением 5 были довольно частые разрывы (канал плохой). Может быть, я чрезмерно увеличил и попробовать значения 6-8? Таймер как был 120, так и остался, я его не менял.

понял, попробую проапгрейдиться до шестерки

помогло уменьшить количество попыток до 7. Зависшие пиры пропали, но и разрывов тоже нет.

тож надо попробовать :)