+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RB1000 SSTP, серьёзные проблемы с разрывами соединения.

RB1000 SSTP, серьёзные проблемы с разрывами соединения., RouterOS

roadracer96

Guest

03.08.2012 22:52:00

Переписывался со службой поддержки несколько раз, отправлял кучу обращений и логи отладки. Проблема остаётся. Примерно 200 SSTP туннелей на RB1000, 5.18 и теперь 5.19, все клиенты на 5.18. RB450gs, 433ahs, 2011s… Я использую Amanda backup через VPN-соединения. Поэтому при пиковой нагрузке скорость скачивания около 40 мегабит при загрузке процессора 30-40%. Проблема, с которой я постоянно сталкиваюсь, заключается в том, что случайным образом в течение дня SSTP-сервер на RB1000 просто перестаёт работать. Будет 200 активных подключений, затем, бац, все они отключаются, и 200 клиентов пытаются переподключиться, создаются интерфейсы “в ожидании”, но они так и не подключаются. Весь аутентификация обрабатывается через FreeRADIUS. Аутентификация работает отлично. Резервные RADIUS-серверы в локальной сети к роутеру. Чтобы снова запустить работу, мне нужно просто отключить и снова включить SSTP-сервер. Все клиенты почти сразу переподключаются без проблем. Это может происходить 1-2 раза в неделю или 2-3 раза в день. Кажется, чаще всего это происходит при высокой нагрузке на роутер, но иногда и при почти нулевой (~1 мегабит). Могу сказать одно… у меня три года проблем с VPN, связанных с MT. OpenVPN был проблемой, посоветовали использовать SSTP. SSTP переживает много взлётов и падений, становится лучше, становится хуже. Проблемы возникают из-за увеличения количества подключений по мере роста клиентской базы, новые релизы, которые исправляют проблемы и вводят новые. Я не думаю, что у меня когда-либо была совершенно стабильная версия.

ДОБАВЛЕНО: Чтобы добавить. Я упростил конфигурацию роутера до минимума. Отключил IPv6, Hotspot, беспроводные пакеты, вручную отключил все динамические протоколы маршрутизации, кроме BGP (использую его). Минимум правил файрвола. Всего 6 правил, одно правило NAT и правило mangle, работающее на VPN-IP для ограничения MSS. У SSTP-сервера есть сертификат с IP-адресом роутера в имени, он проверяет клиентские сертификаты. У всех клиентов есть сертификат и установлен центр сертификации. 2x RADIUS-сервера с MySQL-бэкендом. Некоторые маршруты устанавливаются из RADIUS, ничего особенного. Может быть, один /30 или /29 на клиента. 1 интерфейс в интернете, 1 интерфейс с 4 VLAN, подключенными к управляемому коммутатору. Вся остальная фильтрация выполняется за коммутатором. Это действительно самая простая возможная конфигурация. Я использую пакет NTP-сервера. Я в итоге это сделал, потому что у меня было больше проблем, когда я запускал SSTP-сервер на том же роутере, где были IPSEC-соединения, очереди и сотни правил файрвола. Я его выделил. Это помогло, но проблему не решило. Я мог обходиться без проблем 10-12 дней, но в последнее время это происходит как минимум каждый день, а иногда и чаще. Кто-нибудь ещё использует более 200 SSTP-туннелей на PowerPC роутербоарде? Успешно? В настоящее время я даже не получаю ответов от поддержки, хотя продолжаю отправлять им новые обращения и логи. Действительно раздражает. Прошло 10 дней с момента последнего ответа от них, в котором сообщалось, что другие проблемы были исправлены… Говорят мне, по сути, ничего.

AnRkey

Guest

05.08.2012 07:54:00

Ух ты, звучит тяжело. Я бы поставил X86 сервер с ROS 5 и начал переносить клиентов по одному, пока не начнут возникать проблемы. (PPC на нескольких RB800 давали мне кучу проблем, коротко говоря, PPC - отстой для больших задач) Попробуй изолировать проблему. Ещё кое-что о SSTP: это выглядит как SSL-трафик для твоего провайдера. Там нет ли каких-то ограничений пропускной способности на линии, предоставленной провайдером? Если да, то это почти наверняка вызовет проблемы. Если MT не дает больше информации, то скорее всего, ты единственный с этой проблемой, и у них нет больше информации. Это хорошо, потому что это значит, что что-то в твоей конфигурации можно заменить, чтобы исправить проблему, так как, похоже, она влияет только на тебя. Дополнительная информация о том, как ведёт себя конфигурация, может помочь мне помочь тебе.

AnRkey

Guest

05.08.2012 08:14:00

Пожалуйста, сделай непрерывный пинг с ПК, находящегося за RB1100, на публичный IP-адрес клиентского роутера. Сделай еще один пинг с того же ПК на что-нибудь очень стабильное у твоего провайдера, например, на их DNS-сервер. Когда произойдет следующая серия разрывов SSTP-соединений, проверь, можешь ли ты все еще пинговать клиентский роутер и "стабильный" хост. Ты теряешь туннельные соединения из-за своей конфигурации или это проблема провайдера? Это я и хочу выяснить. Если ты все еще можешь пинговать публичный IP-адрес удаленного клиента во время разрыва SSTP-соединения, то проблема в твоей настройке, а не у провайдера. R

roadracer96

Guest

05.08.2012 10:57:00

Это не провайдер. Это происходит в одном из лучших дата-центров в стране. Гигабитный аплинк, и он вытянет столько, если я буду передавать данные на несколько хостов одновременно. У меня 6 SSTP-соединений на RB1100 на том же свитче, в той же стойке, в том же дата-центре, и они никогда не обрываются. Но там всего 6 соединений. Связь с RB1000 никогда не теряется. Проблема в том, что сам сервис SSTP как-то "умирает". В списке интерфейсов я вижу SSTP-1 через SSTP-100 или 200, или что-то в этом роде, пока клиенты пытаются безуспешно переподключиться. Если просто отключить и снова включить SSTP-сервер в ROS, все 200 клиентов переподключатся за 5-10 секунд. Никакой QOS в дата-центре не должен быть способен "убивать" критически важный сервис насовсем. Да, он может вызвать разрыв соединения, но не такой, который будет продолжаться, пока процесс не будет завершен и перезапущен. Это возможно только проблема в софте.

roadracer96

Guest

06.08.2012 02:12:00

И снова сегодня, в середине дня, всего около 1 мбит трафика на 200 соединений. Все туннели на моем 1100ah остались в рабочем состоянии. Очевидно, что проблема не в ISP. Пришлось отключить сервер SSTP и снова включить, после чего все соединения вернулись. Закомментировал конфиг… Можно увидеть, что он действительно сведен к минимуму… Только минимальное количество настроек, чтобы все работало… /interface vlan
add interface=ether2 l2mtu=1596 name=vlan100 vlan-id=100
add interface=ether2 l2mtu=1596 name=vlan30 vlan-id=30
add interface=ether2 l2mtu=1596 name=vlan20 vlan-id=20
add interface=ether2 l2mtu=1596 name=vlan40 vlan-id=40
/ppp profile
add change-tcp-mss=no local-address=w.x.y.z name=Customer only-one=no use-compression=yes use-encryption=no use-ipv6=no use-mpls=no use-vj-compression=yes
/queue type
set 0 kind=none
set 1 kind=none
set 2 kind=none
set 3 kind=none
set 4 kind=none
set 6 kind=none
set 7 kind=none
/routing bgp instance
set default as=65012 client-to-client-reflection=no out-filter=bgp-out redistribute-connected=yes redistribute-other-bgp=yes redistribute-static=yes router-id=w.x.y.z
/routing ospf area
set [ find default=yes ] disabled=yes
/routing ospf instance
set [ find default=yes ] disabled=yes
/routing ospf-v3 area
set [ find default=yes ] disabled=yes
/routing ospf-v3 instance
set [ find default=yes ] disabled=yes
/snmp community
add addresses=w.x.y.z/24 name=radius
/system logging action
set 1 disk-lines-per-file=1000
set 3 remote=w.x.y.z
/user group
add name=PSG policy=telnet,ssh,reboot,read,write,winbox,!local,!ftp,!policy,!test,!password,!web,!sniff,!sensitive,!api
/interface sstp-server server
set authentication=mschap2 certificate=fw2-new default-profile=Customer enabled=yes keepalive-timeout=120 max-mru=1400 max-mtu=1400 mrru=1400 verify-client-certificate=yes
/ip address
*snip*
/ip dns
*snip*
/ip firewall address-list
*snip*
/ip firewall connection tracking
set tcp-established-timeout=1h tcp-syncookie=yes
/ip firewall filter
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input dst-port=80 protocol=tcp src-address-list=PSG_NoCust
add chain=input connection-state=new dst-port=123 protocol=udp
add chain=input connection-state=new dst-port=443 in-interface=ether1 protocol=tcp
add chain=input connection-state=new dst-port=22,8291 in-interface=ether1 protocol=tcp src-address-list=AllowSSH
add chain=input connection-state=new dst-port=443 in-interface=vlan100 protocol=tcp
add chain=input connection-state=new dst-port=22,8291 in-interface=vlan100 protocol=tcp src-address-list=AllowSSH
add chain=input connection-state=new icmp-options=8 protocol=icmp
add action=jump chain=input dst-address-type=broadcast jump-target=silentdrop
add action=jump chain=input jump-target=drop
add action=drop chain=silentdrop
add action=log chain=drop
add action=drop chain=drop
/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 protocol=tcp src-address=SSTPCLIENTIPS/16 tcp-flags=syn tcp-mss=1361-65535
add action=change-mss chain=forward dst-address=SSTPCLIENTIPS/16 new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1361-65535
/ip firewall nat
add action=src-nat chain=srcnat dst-address-list=PSG_CustNew src-address=!w.x.y.z src-address-list=PSG_NoCust to-addresses=w.x.y.z
add action=src-nat chain=srcnat dst-address-list=PSG_CustNew src-address=w.x.y.z to-addresses=w.x.y.z
add action=dst-nat chain=dstnat dst-address=w.x.y.z dst-port=514 protocol=udp to-addresses=w.x.y.z to-ports=514
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip neighbor discovery
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
set vlan100 disabled=yes
set vlan30 disabled=yes
set vlan20 disabled=yes
set vlan40 disabled=yes
/ip proxy access
add
/ip route
add distance=200 gateway=w.x.y.z
/ip smb
set allow-guests=no
/ppp aaa
set use-radius=yes
/radius
add address=blah secret=blah service=ppp timeout=1s
add address=blah secret=blah service=ppp timeout=1s
add address=blah secret=blah realm=blah service=login src-address=w.x.y.z
add address=blah secret=blah realm=blah service=login src-address=w.x.y.z
/routing bgp network
add network=w.x.y.z
/routing bgp peer
add hold-time=30s keepalive-time=5s name=fw1 remote-address=w.x.y.z remote-as=65100 tcp-md5-key=blah ttl=default
/routing filter
add action=discard chain=bgp-out prefix=w.x.y.z
add action=discard chain=bgp-out prefix=w.x.y.z
add action=discard chain=bgp-out prefix=w.x.y.z
/snmp
set contact=blah enabled=yes location=FW-2 trap-community=public trap-target=0.0.0.0
/system clock
set time-zone-name=America/Detroit
/system identity
set name=fw-2
/system logging
add action=remote topics=sstp
add disabled=yes topics=radius
add action=remote topics=ppp
add action=remote topics=radius
add action=remote topics=critical
add action=remote topics=debug
add action=remote topics=error
add action=remote topics=info
add action=remote topics=interface
/system ntp client
set enabled=yes primary-ntp=w.x.y.z secondary-ntp=w.x.y.z
/system ntp server
set enabled=yes manycast=no
/system routerboard settings
set cpu-frequency=1333MHz
/system watchdog
set automatic-supout=no watchdog-timer=no
/tool bandwidth-server
set enabled=no
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
/user aaa
set default-group=PSG use-radius=yes

roadracer96

Guest

13.08.2012 17:06:00

Поддержка копалась в роутере и установила какой-то пакет для отладки неделю назад… Больше я ничего не слышал. SSTP несколько раз вылетало после установки этого пакета, но они ко мне так и не отозвались… Ни ответа на письма…

roadracer96 Guest	#7 0 25.08.2012 02:22:00 Регулярные обрывы связи всё ещё. Сегодня пришлось перезагружать роутер, чтобы всё заработало снова.

roadracer96 Guest	#8 0 26.08.2012 11:39:00 Два дня аптайма, опять… Всё равно ничего от поддержки.

roadracer96

Guest

17.09.2012 13:13:00

Не слышал от техподдержки уже 30 дней. Отправил 5 писем, но ответа так и не получил. Обновился до 5.20, но проблема никуда не делась. Поставил очередь, чтобы ограничить трафик до 25мбит, но все равно происходит. Что мне нужно сделать, чтобы решить эту проблему?

dominicbatty

Guest

#10

17.09.2012 13:19:00

У меня тоже есть некоторые проблемы с SSTP, о которых я сообщил в техподдержку. Судя по всему, SSTP работает на 100%, даже когда это не требуется, и это можно исправить, перезапустив сервер SSTP на роутере. Отключение пользователей особо не помогает, и я видел, как SSTP-соединения восстанавливаются без участия пользователей. Техподдержка MikroTik сказала, что собиралась подключиться к моему роутеру пару недель назад, но я так ничего и не услышал. Я понимаю, у вас много пользователей и огромный объем трафика, но моя пользовательская база относительно небольшая, и в основном люди используют PPTP-соединения, только один пользователь я перевел на тестовый SSTP. Просто хотел, чтобы вы знали, что, похоже, есть проблемы и на минимальных нагрузках, даже при большом количестве пользователей, и это может быть для вас актуально. У меня установлена RouterOS (v5.20) на VMWare ESXi 5 на Dell PowerEdge R710, вдруг пригодится эта информация. С уважением, Доминик.

dominicbatty

Guest

#11

18.09.2012 13:36:00

Только что получил сообщение от поддержки Mikrotik: проблема с 100% загрузкой процессора при использовании SSTP обнаружена и исправлена в 5.21 RC1. Мне прислали ссылку для скачивания, чтобы я попробовал. Может, вам тоже стоит попробовать, напишите мне dominic at abaca.co.uk, если хотите получить ссылку, я особо не знаю, стоит ли её тут выкладывать. Спасибо, Dominic.

gnuttisch Guest	#12 0 23.10.2012 06:11:00 Какие новости? Работает ли это?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры