Mikrotik сбрасывает соединение через определенное время

Обсуждение ПО и его настройки
Ответить
Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

Добрый день!

Имеется Микротик в центральном офисе 750G, в удаленных офисах Микротики 750 UP, которые подключаются к центральному по PPTP соединениям (шифрованным).
Периодически, раз в неделю офисный Микротик начинает постоянно, с постоянным периодом (около 1 мин.) сбрасывать PPTP соединения от одного/двух удаленных Микротиков (причем одних и тех же).

В логе примерно такие записи
XXX logged in <адрес>
<pptp XXX> : authenticated
<pptp XXX> : connected
<pptp XXX> : using encoding MPPE 128 stateless
<pptp XXX> : terminating... peer is not responding
XXX logged out <адрес>
<pptp XXX> : disconnected

Ну и далее по циклу.
Сначала грешили на провайдера, т.к. у нас тут грозы, но провайдер утверждает, что стабильное соединение удаленного офиса с Инетом есть уже несколько часов.

Вот тут нашел вроде намек на MITM атаку (только на какой Микротик, наверное на удаленный офис?).
http://toster.ru/q/95939

Я пока по рекомендациям знакомого сделал правило, сбрасывающее forward invalid соединения в центральном Микротике. Соединение перестало сбрасываться, но не сразу, и возможно это просто совпадение.

Как определить, в чем именно проблема? И если это действительно хакерская атака, то какие правила файрвола можно создать и в каком Микротике? И помогут ли они?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну для начала стоит понять что 750 - это роутер для дома. Может использование его на удаленных точках где мало сетевых устройств еще как то обоснованно, но вот использовать в качестве головного...


Есть интересная задача и бюджет? http://mikrotik.site
Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

vqd писал(а):Ну для начала стоит понять что 750 - это роутер для дома. Может использование его на удаленных точках где мало сетевых устройств еще как то обоснованно, но вот использовать в качестве головного...


У нас, можно сказать, "Домашний офис", :-):
всего четыре компьютера в "головном" офисе и по одному/два в удаленных.
То есть на то, что роутеры (центральный в том числе) не справляются с нагрузкой, жалоб нет. В удаленных еще, кстати, камеры наблюдения стоят, и качество и скорость просмотра через Инет вполне приемлимое.

То есть нагрузку они держат.


Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

Проблема возникает именно в момент подключения.
То есть подключился, сразу отвалился, может по полдня такое происходить, потом внезапно опять становится все нормально.
Неделю все спокойно, потом снова начинается.

Есть подозрение на атаку, но прямо офисный Микротик уже перестали пытаться ддосить, что наблюдалось какое то время назад. Я правила на файрволл создавал для проблемного ай пи адреса и он обламывался.

А тут странное поведение. Конкретного адреса нет, есть просто постоянные неудачные попытки соединения с одного/двух офисов (причем именно одних и тех же).

Как тут попытаться вскрыть в чем проблема даже не знаю.


Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

Проблема стала реже, но все равно присутствует.
В основном по ночам (судя по логам).
Помогает отключение/включение Микротиков утром в проблемных удаленных офисах.

Тут еще один момент, что проблемные офисы подключаются к Инету через другого провайдера (Башинформсвязь), через pppoe (хотя в нашу офисную VPN они ходят через pptp подключения), а главный микротик и офисы, где все нормально, подключаются через провайдера "Уфанет" и через pptp (в нашу офисную VPN они ходят тоже через pptp).

Может тут лежит причина?


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Marvak писал(а):Проблема стала реже, но все равно присутствует.
В основном по ночам (судя по логам).
Помогает отключение/включение Микротиков утром в проблемных удаленных офисах.

Тут еще один момент, что проблемные офисы подключаются к Инету через другого провайдера (Башинформсвязь), через pppoe (хотя в нашу офисную VPN они ходят через pptp подключения), а главный микротик и офисы, где все нормально, подключаются через провайдера "Уфанет" и через pptp (в нашу офисную VPN они ходят тоже через pptp).

Может тут лежит причина?



Поиграй с MTU


Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

С MTU в настройках PPTP сервера?

Там Max MTU 1400, Max MRU 1460.
Но я ставил эти значения по алгоритму, найденному в Инете, может конечно ситуация с тех пор поменялась,
попробую еще раз опередлить нужный MTU, напишу по результатам.

О, кстати, Keepalive timeout равно 60 сек.
Вот отсюда видимо отваливание ровно через минуту!

А в свойствах ether1 gateway стоит MTU = 1500

Я не особый спец по протоколу TCP IP. Подскажите, пожалуйста, оно как то связано с MTU PPTP сервера (равному 1400)?
И то что они отличаются это вообще в принципе допустимо?


Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

Это все данные на центральном Микротике? забыл написать.

На удаленных там везде MTU 1460 на pptp клиентах, которые соединяются с центральным микротиком по ВПН, а вот MTU на pppoe соединении с провайдером в проблемных офисах равно 1480, а на pptp соединении с провайдером в нормальных офисов MTU равно 1460, то есть отличаются.
Поменять MTU с 1480 на 1460 в проблемных точках?


Marvak
Сообщения: 27
Зарегистрирован: 12 апр 2014, 10:47

Продолжу, т.к. причина пока не выяснена.
Я добавил правила, которые сбрасывают input и forward invalid соединения. Вроде бы стало пореже отключаться. MTU не трогал, просто не знаю куда его менять.

Тут еще такой момент, что время пинга с центрального микротика до удал. офисов, где все нормально, составляет около 5 мс, а вот время пинга до проблемных удаленных офисов составляет уже около 40 мс, то есть почти в 10 раз больше, изредка процент потерь 50 % вылезает. Даже до РБК и то пинг идет меньше, всего около 20 мс.
Проблемные кабинеты выходят в Инет через другого провайдера.
Есть мысль, что это проблемы у того провайдера.
Может кто что посоветует?


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Marvak писал(а):Продолжу, т.к. причина пока не выяснена.
Я добавил правила, которые сбрасывают input и forward invalid соединения. Вроде бы стало пореже отключаться. MTU не трогал, просто не знаю куда его менять.

Тут еще такой момент, что время пинга с центрального микротика до удал. офисов, где все нормально, составляет около 5 мс, а вот время пинга до проблемных удаленных офисов составляет уже около 40 мс, то есть почти в 10 раз больше, изредка процент потерь 50 % вылезает. Даже до РБК и то пинг идет меньше, всего около 20 мс.
Проблемные кабинеты выходят в Инет через другого провайдера.
Есть мысль, что это проблемы у того провайдера.
Может кто что посоветует?


Сделай трасировку до нормальных филиалов и до плохих


Ответить