L2TP+IPSEC странные проблемы.

Обсуждение ПО и его настройки
vitake
Сообщения: 4
Зарегистрирован: 05 сен 2016, 15:59

Так же заметил данные глюк ROs 6.37.1 проверено на двух RB Hap Lite AC и RB 3011 UIAS-RM без нагрузки все отлично пинги бегают даже RDP не валит канал. Как только начинаешь скачивать файл с удаленного компа (я пробовал архив 700 метров). три минуты и канал ложится. Решение - откатился на 6.34.6 bugfix все нормально пинги бегают, rdp работает, под нагрузкой работает устойчиво. Вывод сам напрашивается.
p.s. Пробовал так же 6.38rc15 вроде. (новая на 13.10.2016) так же валится l2tp\ipsec.
p.s.s Коллеги, если есть решение пишите пожалуйста, тема востребована.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

xapepama писал(а):SSTP работает 2 часа без намека на разрыв или что-то такое. Да, действительно, если маскировать VPN под HTTPS-трафик - все ок. Вывод не утешительный: Это абсолютно бессмысленно, но "Мегафон" блокирует L2TP/IPSEC - 3 минутами работы и GRE-трафик полностью.


И не только мегафон...
Это борьба с обходом блокировок.
Во многих странах такое даже полностью узаконено.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

vitake писал(а):Так же заметил данные глюк ROs 6.37.1 проверено на двух RB Hap Lite AC и RB 3011 UIAS-RM без нагрузки все отлично пинги бегают даже RDP не валит канал. Как только начинаешь скачивать файл с удаленного компа (я пробовал архив 700 метров). три минуты и канал ложится. Решение - откатился на 6.34.6 bugfix все нормально пинги бегают, rdp работает, под нагрузкой работает устойчиво. Вывод сам напрашивается.
p.s. Пробовал так же 6.38rc15 вроде. (новая на 13.10.2016) так же валится l2tp\ipsec.
p.s.s Коллеги, если есть решение пишите пожалуйста, тема востребована.



Абсолютно точно могу сказать, что PPtP (может проблема только у l2tp) у меня не валится ни на 6.36, ни 6.37.1. Каналы работаю месяцами без перерыва. Если бы еще и свет не выключали, то годами бы работало.


vitake
Сообщения: 4
Зарегистрирован: 05 сен 2016, 15:59

gmx писал(а):
vitake писал(а):Так же заметил данные глюк ROs 6.37.1 проверено на двух RB Hap Lite AC и RB 3011 UIAS-RM без нагрузки все отлично пинги бегают даже RDP не валит канал. Как только начинаешь скачивать файл с удаленного компа (я пробовал архив 700 метров). три минуты и канал ложится. Решение - откатился на 6.34.6 bugfix все нормально пинги бегают, rdp работает, под нагрузкой работает устойчиво. Вывод сам напрашивается.
p.s. Пробовал так же 6.38rc15 вроде. (новая на 13.10.2016) так же валится l2tp\ipsec.
p.s.s Коллеги, если есть решение пишите пожалуйста, тема востребована.



Абсолютно точно могу сказать, что PPtP (может проблема только у l2tp) у меня не валится ни на 6.36, ни 6.37.1. Каналы работаю месяцами без перерыва. Если бы еще и свет не выключали, то годами бы работало.


Да, Вы абсолютно правы PPTP работает без каких либо проблем, падение канала происходит только при l2tp\ipsec.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

gmx писал(а):А инструкцией пошаговой настройки sstp не поделитесь???


да так же как и PPTP

http://it-mehanika.ru/index.php/2009-12 ... poratsij-2


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Статья хорошая.
Читал.
Но в случае, если с обеих сторон стоит микротик, то все еще проще. Никакие сертификаты не нужны.
Я вот доберусь до того чуда-провайдера, который режет gre и попробую от их клиента поднять к себе SSTP.
Проверю как работает. Потом отпишусь.


kowalsky
Сообщения: 16
Зарегистрирован: 24 июл 2016, 11:29
Откуда: Москва

Пару дней назад настраивал L2TP и тоже попал в две странности. 1. Как уже говорилось при нагрузках отключается, скачивает около 200 мб и разрывается связь. 2. Это то что в Win 10 почему то при не использовании L2TP происходит разъединение при это если работать по rdp то соединение будет работать как только перестаешь использовать "разъединяет" через 15-20 сек.(хотя на win7 и mac такого нет).


OGOOGO
Сообщения: 1
Зарегистрирован: 02 янв 2017, 03:29

На оригинальном форуме уже отписал, скопирую сюда. Релиз кандидат 6.38rc52 решает проблему, но он не стабильный.
Суть проблемы. В windows для ipsec забиты гвоздями пороги реинициализации 2 фазы ipsec, это 60 минут или 100Мбайт (это windows 10). После истечения одного или другого, происходит реинициализация со стороны windows клиента. Далее микротику приходит запрос на реинициализацию и он должен обновить 2 SA ассоциации.
windows ==> mikrotik SA
mikrotik ==> windows SA
С первой все ок. Вторую он по логам отправляет винде, но что-то идет не так и она не устанавливается.
Шифрованный трафик не ходит в одну сторону.
По L2TP не могут приходить HELLO пакеты и оно обрывается.
Кому интересно, смотрите ip-ipsec-installed SAs. Во время возникновения проблемы, видно что появляется новая запись в которой Current bytes остается на нуле.
Ждем стабильную версию.

Oct/03/2016 13:43:38 l2tp,ppp,info,account usename logged out, 4284 7980325 129401623 67247 116642

В этом сообщении 2 и 3 цифры это количество принятых и переданых байт за сессию. 129401623 = ~129Мб - на этой величине windows реинициализирует сессию.


vitake
Сообщения: 4
Зарегистрирован: 05 сен 2016, 15:59

OGOOGO писал(а):На оригинальном форуме уже отписал, скопирую сюда. Релиз кандидат 6.38rc52 решает проблему, но он не стабильный.
Суть проблемы. В windows для ipsec забиты гвоздями пороги реинициализации 2 фазы ipsec, это 60 минут или 100Мбайт (это windows 10). После истечения одного или другого, происходит реинициализация со стороны windows клиента. Далее микротику приходит запрос на реинициализацию и он должен обновить 2 SA ассоциации.
windows ==> mikrotik SA
mikrotik ==> windows SA
С первой все ок. Вторую он по логам отправляет винде, но что-то идет не так и она не устанавливается.
Шифрованный трафик не ходит в одну сторону.
По L2TP не могут приходить HELLO пакеты и оно обрывается.
Кому интересно, смотрите ip-ipsec-installed SAs. Во время возникновения проблемы, видно что появляется новая запись в которой Current bytes остается на нуле.
Ждем стабильную версию.

Oct/03/2016 13:43:38 l2tp,ppp,info,account usename logged out, 4284 7980325 129401623 67247 116642

В этом сообщении 2 и 3 цифры это количество принятых и переданых байт за сессию. 129401623 = ~129Мб - на этой величине windows реинициализирует сессию.



Спасибо за информацию. Будем ждать stable.


sfr
Сообщения: 1
Зарегистрирован: 18 мар 2017, 08:21

попробуй пинговать чтонибудь на другой стороне тоннеля разным размером пакета и с флагом запрета фрагментации...
как вычислишь предельный размер пакета - ставь в мангле change mss до нужного размера
частично (для tcp) проблема должна решиться


Ответить