SSL handshake aborted

Обсуждение ПО и его настройки
Ответить
Sergtron
Сообщения: 5
Зарегистрирован: 25 ноя 2016, 14:46

Добрый день!
Подскажите, может кто сталкивался с такой ситуацией попробую описать кратко.
На CCR1016 -12G развёрнут центральный шлюз организации. На нём же поднят NAT и выход в интернет для ряда пользователей ( ПК + Wi-fi юзеры). Все Wi-fi точки доступа подняты с использованием CAPsMAN, в определённый момент заметил что при работе через wi-fi сеть не работает часть интернет ресурсов (хотя правило NAT для выхода в интернет одно как для обычных ПК, так и для пользователей wi-fi). Пользователи wi-fi сети выведены в отдельный bridge в него же заведены 2 eoip тунеля (сделано чтобы при посещении любого подразделения по каналу связи wi-fi клиенты подцеплялись как будто находятся в офисе и к ним применялись все правила доступа).
И вот какая закономерность замечена, если отключить eoip тунели, то всё работает нормально, как их включишь при https запросе определённого ресурса вылетает ошибка "SSL handshake aborted" и сайт не открывается.
Для начала разобрались в настройках тунелей, у нас один вообще имел root роль (если смотреть bridge-ports), сейчас они все как и cap имеют статус "designated port". Также было замечено, если тунели отключить в интерфейсах, то это проблему не решает. отключать их надо именно в "Port". Создалось такое ощущение что трафик вместо интернета уходит в любой доступный тунель, а от туда соответственно ответа нет (выход в интернет только на центральном шлюзе). Логично предположить что необходимо настроить приоритеты для тунелей, но изменение параметров приведённых на изображении ниже результатов не дало.
https://cloud.mail.ru/public/2zVE/LPgVRnqwe
Подскажите, что можно ещё проверить? Или как правильно настроить приоритеты? Повторюсь ещё раз, помогает только исключение из портов бриджа тунелей, даже дизактивация тунелей в интерфейсах результата не даёт.
https://cloud.mail.ru/public/JGaH/12wQ92L9v
Сразу предупрежу, проблема 100% не в настройках wi-fi, т.к. был ещё загнан vlan в этот bridge и завёл в этот vlan один ПК, проблема также себя проявила.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

буквально на днях смотрел выступления Дмитрия Калинина с МУМ в Москве,
тему доклада не помню, он там рассказывал о создании сети на транспорте PPTP и поверх него уже
EOIP. Но суть не в этом, он там затрагивал тему что у него были глюки с неработоспособностью туннелей EOIP,
и чтобы глюк победить, он там аналитику сделал на скрипте, также ему с зала крикнули,чтобы в настрйоках
туннеля EOIP он убрал параметр KeepAlive - якобы он делает хуже и чаще с ним туннель зависает.

Поэтому найдите на ютубу это видео, проанализируйте скрипт Дмитрия, ну и попробуйте с параметров Keepalive,
это всё что пока могу я посоветовать.

Не забудьте нам потом тут рассказать/поделиться :mi_ga_et:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sergtron
Сообщения: 5
Зарегистрирован: 25 ноя 2016, 14:46

KeepAlive у меня вообще не задан на тунелях.


Ответить