+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с IPsec туннелем на MikroTik. Я уже потратил на это кучу времени, и, кажется, зашел в тупик. Основная проблема: я не могу установить постоянный IPsec tunnel между двумя MikroTik роутерами. Что я уже пробовал: * Проверил конфигурацию IPsec н

Проблема с IPsec туннелем на MikroTik. Я уже потратил на это кучу времени, и, кажется, зашел в тупик. Основная проблема: я не могу установить постоянный IPsec tunnel между двумя MikroTik роутерами. Что я уже пробовал: * Проверил конфигурацию IPsec н, RouterOS

burkni

Guest

20.08.2012 12:06:00

Привет всем. Я настроил VPN-туннель между MikroTik RB750G и Cisco ASA 5510. На самом деле, я настроил туннели в 3 локации. Две из них находятся за ADSL-роутером, настроенным как модем, то есть я бриджнул ADSL-роутер и использую его как модем. Так что MikroTik настроен с PPPoE-подключением и прочим. Это работает отлично, и VPN-туннель тоже. Затем у меня есть Ethernet-подключение в одном месте. Там я просто получаю публичный IP и должен быть подключен прямо к Интернету. Все это работает хорошо, кроме VPN-туннеля. Тоннель поднимается, когда MikroTik-роутер запускается, но обрывается через некоторое время. Я не засекёл, но речь идёт, возможно, о 15 минутах или около того. Я не вижу никакой разницы в этой настройке по сравнению с другими двумя. Ещё хочу отметить, что после установки VPN-туннеля на ADSL-подключениях я могу подключаться к MikroTik-роутерам с WinBox по внутреннему IP. Но на этом, на котором проблема, я не могу подключиться к нему с WinBox ни по внутреннему, ни по внешнему IP. Я пробовал менять роутер (RB750G), но это не помогло. Я что-то упускаю? Я понимаю, что не предоставил вам конфиги, но есть ли какая-то разница в том, как это должно обрабатываться? Я настроил их все одинаково, за исключением PPPoE-части. Нужно ли мне создавать какой-то виртуальный интерфейс, подключенный к внешней сети, чтобы подключаться к VPN? Любая помощь будет очень кстати.

jerryroy1 Guest	#2 0 21.08.2012 19:29:00 Подтвердите ваши правила брандмауэра. Можете ли вы пропинговать публичный IP?

burkni

Guest

22.08.2012 13:11:00

Я могу пропинговать публичные IP как маршрутизатора MT (с стороны Cisco), так и Cisco box (с стороны MT). С установленным туннелем я могу пропинговать внутренний IP маршрутизатора MT с сайта Cisco. В остальном всё работает, кроме того, что я не могу подключиться через WinBox, а Nagios не может получить информацию по SNMP. На остальных местах, где ADSL, проблем с подключением через WinBox и получением SNMP-данных нет. Туннель вроде бы работает, но время от времени всё равно отключается. Вчера отвалился примерно в 8:50 и снова заработал примерно в 12:30. Сегодня отвалился около 10:15 и снова заработал около 12:10. Времена не точные, но примерно такие. Я слежу за этим через Nagios, так что вижу, когда он отвечает, а когда перестаёт. Я по-прежнему не могу подключиться через WinBox или получить данные SNMP. Есть какие-нибудь идеи?

gsloop

Guest

22.08.2012 15:34:00

Что это за туннель? IPSec? Что-то ещё? Есть ли потеря пакетов? Падение туннеля – это не редкость, но чтобы он пропадал на несколько часов – это уже странно, если нет какой-то серьёзной потери пакетов или что-то в этом роде.

jerryroy1 Guest	#5 0 22.08.2012 16:01:00 Запусти сканер портов на внешний IP-адрес бокса. Порт 8291 открыт? Пробовал веб-интерфейс или SSH?

burkni

Guest

23.08.2012 08:56:00

@gsloop - Трафика до внешнего IP с моего сайта нет потерь, по крайней мере, я не вижу проблем в Nagios. Но я фиксирую падение трафика в туннеле в то время, о котором я упоминал. Попробую непрерывно пинговать внешний порт какое-то время и посмотрю, что покажет. @jerryroy1 - На проблемном сервере открыто меньше портов. Но разницы в правилах файрвола я не вижу.

gsloop

Guest

23.08.2012 23:47:00

Как ты мониторишь с помощью Nagios? Fping? Как часто и сколько пингов? [Я использую smokeping, поэтому не уверен, как это делает Nagios.] И еще раз, какой тип туннеля? [У тебя же включено логирование для этого протокола/сервиса на RB и ты смотрел логи, верно?] — Greg

burkni

Guest

24.08.2012 13:57:00

Сейчас я просто мониторю это с помощью ping. Пингую внешний и внутренний интерфейс, но это, конечно, показывает ответ только когда туннель активен. Это IPsec туннель, 3des sha1. Настройка такая же, как на других площадках, но там все за ADSL модемом (маршрутизатор соединен как модем). Кажется, сейчас все работает нормально, с 22 августа никаких сбоев. (Знаю, недолго, но дольше обычного). Понимаю, там пока особо не использовали, поэтому интересно посмотреть, как он себя покажет под нагрузкой. Честно говоря, не знаю, как включить логирование именно для этого, раньше не приходилось мониторить эти роутеры. Очень нравятся эти роутеры, уверен, это какая-то моя ошибка, какая-то мелочь упущена или что-то в этом роде. Nagios или, если точнее, FAN, Fully Automated Nagios, который использует Centreon, это по сути просто GUI для Nagios. Я раньше использовал просто Nagios, но с этой штукой было проще получать графики и прочее.

jerryroy1 Guest	#9 0 24.08.2012 15:40:00 Похоже, проблема была в линии широкополосного доступа или другое устройство получило тот же IP-адрес (если, конечно, это уже исправили). Кстати, логирование для IPsec можно настроить, зайдя в System > Logging > и нажав на плюсик. Затем в разделе topic выбери ipsec и нажми ok. Теперь вернись и выбери лог в Winbox, и ты увидишь логи для ipsec. Надеюсь, это поможет. Если я был полезен, добавь карму, пожалуйста.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры