Периодически отваливается VPN (duplicate packet, dropping)

Обсуждение ПО и его настройки
Ответить
c20h28o2
Сообщения: 3
Зарегистрирован: 15 окт 2015, 13:07

Добрый день, уважаемые форумчане!
Возможно, тема не совсем корректно звучит, ибо как бы сам VPN-то не падает, а просто периодически происходит какое-то задвоение пакетов у удаленных VPN-пользователей и как следствие - происходит отвал. С микротиком знаком совсем недавно, так что просьба сильно не пинать :D

Имеем CCR1009-8G-1S с RouterOS 6.32.1, на котором поднят OpenVPN, с vlan'ом, который видит нашу реальную сетку и на котором "точечно настроена" возможность получения удаленными vpn-клиентами доступа к конкретным IP в нашей сетке с конкретными портами по TCP протоколу.

Прилагаю скриншоты с тем, как это выглядит на самом микротике и как это выглядит в том числе и со стороны самого компа когда проблема возникает (возможно что-то даже излишне). Из скриншота с микротиком видно, что клиент kassa встречается 2 раза, хотя на самом деле это один и тот же комп.

Изображение
Изображение
Изображение
Изображение
Изображение

А вот наш конфиг:

Код: Выделить всё

# oct/12/2015 13:31:25 by RouterOS 6.32.1
# software id = XXXX-XXX
#
/interface ethernet
set [ find default-name=ether5 ] name=eth1-wan
set [ find default-name=ether6 ] name=eth2-lan
set [ find default-name=ether7 ] name=eth3-lan
set [ find default-name=ether8 ] name=eth4-lan
set [ find default-name=ether1 ] name=eth5-lan
set [ find default-name=ether2 ] name=eth6-lan
set [ find default-name=ether3 ] name=eth7-lan
set [ find default-name=ether4 ] name=eth8-lan
/interface vlan
add interface=eth2-lan l2mtu=1574 name=vlan1 vlan-id=1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=vpn_pool ranges=172.16.0.10-172.16.0.250
/ip dhcp-server
add address-pool=vpn_pool disabled=no interface=vlan1 name=dhcp_pc
/ppp profile
add local-address=172.16.0.1 name=ovpn remote-address=vpn_pool
/interface ovpn-server server
set certificate=cert_2 cipher=blowfish128,aes128,aes192,aes256 default-profile=ovpn enabled=yes require-client-certificate=yes
/ip address
add address=xxx.xx.xxx.252/29 interface=eth1-wan network=xxx.xx.xxx.248
add address=192.168.4.2/24 interface=eth2-lan network=192.168.4.0
add address=172.16.0.1/24 interface=vlan1 network=172.16.0.0
/ip dhcp-server network
add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=xxx.xx.192.33,xxx.xx.192.39
/ip dns static
add address=192.168.4.2 name=MikroTik
/ip firewall filter
add chain=input dst-port=1194 in-interface=eth1-wan protocol=tcp
add chain=input in-interface=eth1-wan protocol=icmp
add chain=input connection-state=established,related in-interface=eth1-wan
add action=drop chain=input in-interface=eth1-wan
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=eth1-wan new-connection-mark=ISP_conn passthrough=no
add action=mark-routing chain=output connection-mark=ISP_conn new-routing-mark=to_ISP passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan
add action=masquerade chain=srcnat disabled=yes out-interface=eth2-lan
add action=masquerade chain=srcnat dst-address=192.168.4.53 dst-port=1433 out-interface=eth2-lan protocol=tcp
add action=masquerade chain=srcnat dst-address=192.168.4.70 dst-port=8080 out-interface=eth2-lan protocol=tcp
add action=masquerade chain=srcnat dst-address=192.168.4.53 dst-port=211 out-interface=eth2-lan protocol=tcp
/ip route
add check-gateway=arp distance=1 gateway=xxx.xx.xxx.249
/ip service
set telnet address=192.168.4.0/24
set ftp address=192.168.4.0/24
set www address=192.168.4.0/24,172.16.0.0/24,xxx.xx.xxx.250/32,xx.xx.xxx.108/32
set ssh address=192.168.4.0/24
set api address=192.168.4.0/24
set winbox address=192.168.4.0/24,172.16.0.0/24,xxx.xx.xxx.250/32,xx.xx.xxx.108/32
set api-ssl address=192.168.4.0/24
/ppp secret
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=85.21.78.8 secondary-ntp=78.140.251.2 server-dns-names=""
/system package update
set channel=current
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=eth2-lan
/tool romon port
add


Люди добрые, подскажите, в чем может быть проблема и где что подкрутить? Уже и lease time в dhcp менял - поставил 10 минут, и разные значения MTU выставлять пробовал, ничего не помогает.

Заранее благодарен за любую инфу.


examle_for_what
Сообщения: 9
Зарегистрирован: 12 окт 2016, 10:00

Аналогичный был вопрос... Чтож...чумовой форум...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

examle_for_what писал(а):Аналогичный был вопрос... Чтож...чумовой форум...

Долго рыл? Теме больше года... Если никто не отвечает, значит нет тех, кто в этом решит покопаться. Никто никому ничего не должен. Вообще. И принуждать никого не стоит, да и не получится. Либо ждите желающего заниматься этим, либо сами изучите вопрос, либо вперед к фрилансерам. Вон ближайшая ссылка внизу страницы (правда я не знаю, занимается он ovpn-туннелями или нет. Хотя, он головастый, думаю, разберется.) Пытаться подобными вбросами получить результат - по меньшей мере ребячество. Результат будет абсолютно не тот, который нужен.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
examle_for_what
Сообщения: 9
Зарегистрирован: 12 окт 2016, 10:00

Мда...Ну и комьюнити у микротик...Не встречал ещё чтобы на форуме посылали к фрилансерам. Абзац какой-то...
А на результат здесь и не расчитываю. Благо с ин. язом дела не плохо - на англоязычных форумах люди "оказывается" не против помочь советом...
Да и кстати человек здесь излил всё, что у Вас там написано дабы обезопасить Вас трудов выведывания...но всем безразлично ведь никто не сталкивался...а предполагать и советовать знающие не вправе...
А отвечать на мои сообщения не нужно. Лучше пользователям помогай советами, а то как тут так сразу, а как человеку совет дать нет никого...


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

examle_for_what писал(а):Мда...Ну и комьюнити у микротик...Не встречал ещё чтобы на форуме посылали к фрилансерам. Абзац какой-то...
А на результат здесь и не расчитываю. Благо с ин. язом дела не плохо - на англоязычных форумах люди "оказывается" не против помочь советом...
Да и кстати человек здесь излил всё, что у Вас там написано дабы обезопасить Вас трудов выведывания...но всем безразлично ведь никто не сталкивался...а предполагать и советовать знающие не вправе...
А отвечать на мои сообщения не нужно. Лучше пользователям помогай советами, а то как тут так сразу, а как человеку совет дать нет никого...

А давайте вы мне поможете, к примеру, выполнить операцию на сердце? Или быть может расскажете как правильно и быстро построить АЭС, от и до? Только учтите, судя по вашей же логике, после того, как я к вам обратился, вы обязаны это сделать и сделать хорошо! И мне не важно, что вы этого не знаете\не умете, или о чудо, вы с этим не сталкивались, вы априори обязаны, иначе вы "чумовой", выражаясь вашим же языком и, повторюсь, руководствуясь вашей же логикой. Абсурдно звучит, не правда ли?
Так отчего у вас так "припекает" от того, что есть темы, в которых нет ответов? Или от того, что персонально вам тут не помогли? Тогда как выразился podarok66, это действительно ребячество, а еще большее ребячество то, что вы теперь бегаете по форуму и полоскаете его в темах, не помогаете, не приводите примеров в помощь, а просто пишите бесцельные комментарии "о качестве форума". С учетом того, что вы настолько подкованы, что знаете ин. язык нам, простой местной лимите, вообще странно ваше присутствие здесь, о великий знатель ин. языков!
И да, опережая ваши возможные домыслы, что я являюсь "вторым аккаунтом", а точнее podarok66 пишет якобы от имени меня, или что мы просто знакомы и т.д. в таком ключе, сразу вас огорчу, это все не так и все что я знаю о podarok66, это то, что он действительно может помочь, если знает как. Точно так же я разделяю его взгляды, на то, что форум, это место где помощь добровольна, а если вам нужно срочное и гарантированное решение, то дорога ваша лежит к платным услугам, например тех же "фрилансеров".


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

examle_for_what писал(а):Мда...Ну и комьюнити у микротик...Не встречал ещё чтобы на форуме посылали к фрилансерам. Абзац какой-то...

Зря Вы так жёстко. Помогаем чем могём!

а) во-первых, себя не считаю профессионалом, хотя уже 3й год с микротиками, поэтому советов не будет.
б) с Опен-ВПН не работал вообще, а значит не дам совет в этом направлении
в) у топикстартера роутер серии CCR, а прошивка стоит 6.32.1, хотя версии баг-фикс уже (то есть стабильная при стабильная - 6.36.4 (Bugfix only)),
не проще перейти на эту версию и проверить, тем более что разница по версиям - НУ ПРОСТО мега огромно (нашёл, версия 6.32.1 была выпущена 7 сентября 2015 года)!!!!
И уже на базе новой фикс-прошивки делать новые замеры и результаты? Может ошибки уйдут, тем более у микротиковцем политика (и на коробках написано) - обновите..обновите перед использованием.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
examle_for_what
Сообщения: 9
Зарегистрирован: 12 окт 2016, 10:00

KARaS'b писал(а):
examle_for_what писал(а):Мда...Ну и комьюнити у микротик...Не встречал ещё чтобы на форуме посылали к фрилансерам. Абзац какой-то...
А на результат здесь и не расчитываю. Благо с ин. язом дела не плохо - на англоязычных форумах люди "оказывается" не против помочь советом...
Да и кстати человек здесь излил всё, что у Вас там написано дабы обезопасить Вас трудов выведывания...но всем безразлично ведь никто не сталкивался...а предполагать и советовать знающие не вправе...
А отвечать на мои сообщения не нужно. Лучше пользователям помогай советами, а то как тут так сразу, а как человеку совет дать нет никого...

А давайте вы мне поможете, к примеру, выполнить операцию на сердце? Или быть может расскажете как правильно и быстро построить АЭС, от и до? Только учтите, судя по вашей же логике, после того, как я к вам обратился, вы обязаны это сделать и сделать хорошо! И мне не важно, что вы этого не знаете\не умете, или о чудо, вы с этим не сталкивались, вы априори обязаны, иначе вы "чумовой", выражаясь вашим же языком и, повторюсь, руководствуясь вашей же логикой. Абсурдно звучит, не правда ли?
Так отчего у вас так "припекает" от того, что есть темы, в которых нет ответов? Или от того, что персонально вам тут не помогли? Тогда как выразился podarok66, это действительно ребячество, а еще большее ребячество то, что вы теперь бегаете по форуму и полоскаете его в темах, не помогаете, не приводите примеров в помощь, а просто пишите бесцельные комментарии "о качестве форума". С учетом того, что вы настолько подкованы, что знаете ин. язык нам, простой местной лимите, вообще странно ваше присутствие здесь, о великий знатель ин. языков!
И да, опережая ваши возможные домыслы, что я являюсь "вторым аккаунтом", а точнее podarok66 пишет якобы от имени меня, или что мы просто знакомы и т.д. в таком ключе, сразу вас огорчу, это все не так и все что я знаю о podarok66, это то, что он действительно может помочь, если знает как. Точно так же я разделяю его взгляды, на то, что форум, это место где помощь добровольна, а если вам нужно срочное и гарантированное решение, то дорога ваша лежит к платным услугам, например тех же "фрилансеров".

Судя по моей логике?)
Исходя из того, что я писал исходит только то, что я прошу помочь советом, а не приехать и построить АЭС под ключ. Если это даже допустить, то советом тут тоже можно помочь. И никто не кому не обязан. Мои сообщения не принуждают мне что-то сделать и дать на это гарантию. Совет может быть и неверным, но он может привести к решению проблемы. Простое молчание не решает вопросы.
Глупости пишите. А то что я выразил искреннее удивление такой политике форума, как по мне, нормальная человеческая реакция.
А знание ин. языков Вы восприняли как упрёк, что говорит лишь о правде написанного - на англоязычных форумах с меньшим отвращением относятся к вопросам, в т.ч. к новым.
Мне откровенно по боку 1 это или 2 акк., не задумываюсь о вашей паранойе.
А то, что форум это добровольная помощь - не спорил ни в одном посте. Гарантий и моментальной помощи не просил никогда, нужно было бы пошел бы к тем, кто за это деньги имеет.
Для меня форум всегда означал что-то вроде беседы - ты задаёшь вопрос и кто-то высказывает мнение по нему (совет\решение\где почитать\что посмотреть\что попробовать и т.п.), а не молчит как стена.


examle_for_what
Сообщения: 9
Зарегистрирован: 12 окт 2016, 10:00

Vlad-2 писал(а):
examle_for_what писал(а):Мда...Ну и комьюнити у микротик...Не встречал ещё чтобы на форуме посылали к фрилансерам. Абзац какой-то...

Зря Вы так жёстко. Помогаем чем могём!

а) во-первых, себя не считаю профессионалом, хотя уже 3й год с микротиками, поэтому советов не будет.
б) с Опен-ВПН не работал вообще, а значит не дам совет в этом направлении
в) у топикстартера роутер серии CCR, а прошивка стоит 6.32.1, хотя версии баг-фикс уже (то есть стабильная при стабильная - 6.36.4 (Bugfix only)),
не проще перейти на эту версию и проверить, тем более что разница по версиям - НУ ПРОСТО мега огромно (нашёл, версия 6.32.1 была выпущена 7 сентября 2015 года)!!!!
И уже на базе новой фикс-прошивки делать новые замеры и результаты? Может ошибки уйдут, тем более у микротиковцем политика (и на коробках написано) - обновите..обновите перед использованием.

Спс за человеческий ответ. Про этот тип общения и писал в прошлом посте. Ты спросил тебе ответили, ни гарантий ни обязательств - просто ответ...Все банально просто. Жаль, что никто не курит тему openvpn настолько так сказать.
ИМХО. Да и кстати в тему автора этой темы - у него всего одно сообщение и это оно. Не думаю, что он так поумнел и более не нуждался в совете, не получив ответа на вопрос. Вероятнее он просто ,так же как и я, удивился такой политике форума, только про себя, и больше сюда не заходил...
И удивляет то, что местных так раздражает, что кто-то удивлён тому, что они не дают какой-то реакции на вопросы о сложностях в настройке оборудования, до такой степени, что они прям вскипают на целые портянки. А интереса к проблеме не проявляют вовсе, т.е. их не цепляет возможность самим разобраться в вопросе и тем самым помочь человеку, которому ввиду меньшего опыта работы с оборудованием будет значительно сложнее это сделать.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

examle_for_what писал(а):И удивляет то, что местных так раздражает, что кто-то удивлён тому, что они не дают какой-то реакции на вопросы о сложностях в настройке оборудования, до такой степени, что они прям вскипают на целые портянки.

Да никого и ничего не раздражает. И портянки лишь затем, чтобы до вас хоть что-то дошло. Если бы вы раздражали, есть волшебная кнопка и вас нет.
examle_for_what писал(а):интереса к проблеме не проявляют вовсе, т.е. их не цепляет возможность самим разобраться в вопросе

Нет, не думаю, что кто-нибудь станет изучать целый раздел и тратить часы своего времени, чтобы сэкономить ваше. Как я уже упоминал, если (обращаю ваше внимание ЕСЛИ) кто-либо сталкивался с проблемой, подскажет.
Ну а уж если вы неплохи в английском, то зачем вы изливаете целые портянки именно здесь? Ну сходите на форум разработчиков. Там люди по определению должны как рыба в воде, в этой системе. Вот мне на том форуме ой как туго, потому как мой английский very, very bad, если не сказать хуже. Но при затыках в работе я спокойно иду туда, корплю над темами, читаю. И если нахожу ответ, хорошо, не нахожу - значит я плохо искал :-)
Если же вам просто не хватает общения, перейдите в ветку ОБЩИЕ ВОПРОСЫ=>КУРИЛКА. И давайте так - плох для вас наш форум, проходите мимо, попробуйте подыскать что-то получше, устраивает - проявляйте терпение и выдержку.
А в остальных темах только по теме стартового вопроса. Заранее благодарен за понимание.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я согласен, куда лучше написать пост "Я не знаю, может быть дело в настройках, а может в прошивке, а может в винде". Давайте все участники форума зайдём и засрём (С) эту тему однотипными предложениями, - будет самая популярная тема, только толк какой от неё? Проблема не решена, зато каждый набил себе по посту. Супер!

Более того, теме больше года, автор больше не заходил на форум. Очевидно проблема решена. А если у Вас, уважаемый examle_for_what есть вопросы, прошу их озвучить в установленном форумом порядке. А если нету, то в чём собственно говоря проблема? Или давайте я сейчас вспомню все проблемы, которые были у меня? Давайте я буду заходить в пятилетние темы и писать там "У меня тоже такая проблема была". Что, сделаю себе +2к постов, перебью vqd по количеству постов. Буду гордый и довольный. Только знаний и опыта больше чем у Славы не станет...

Заканчиваем балаган.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить