Добрый день!
Подскажите, может кто сталкивался с такой ситуацией попробую описать кратко.
На CCR1016 -12G развёрнут центральный шлюз организации. На нём же поднят NAT и выход в интернет для ряда пользователей ( ПК + Wi-fi юзеры). Все Wi-fi точки доступа подняты с использованием CAPsMAN, в определённый момент заметил что при работе через wi-fi сеть не работает часть интернет ресурсов (хотя правило NAT для выхода в интернет одно как для обычных ПК, так и для пользователей wi-fi). Пользователи wi-fi сети выведены в отдельный bridge в него же заведены 2 eoip тунеля (сделано чтобы при посещении любого подразделения по каналу связи wi-fi клиенты подцеплялись как будто находятся в офисе и к ним применялись все правила доступа).
И вот какая закономерность замечена, если отключить eoip тунели, то всё работает нормально, как их включишь при https запросе определённого ресурса вылетает ошибка "SSL handshake aborted" и сайт не открывается.
Для начала разобрались в настройках тунелей, у нас один вообще имел root роль (если смотреть bridge-ports), сейчас они все как и cap имеют статус "designated port". Также было замечено, если тунели отключить в интерфейсах, то это проблему не решает. отключать их надо именно в "Port". Создалось такое ощущение что трафик вместо интернета уходит в любой доступный тунель, а от туда соответственно ответа нет (выход в интернет только на центральном шлюзе). Логично предположить что необходимо настроить приоритеты для тунелей, но изменение параметров приведённых на изображении ниже результатов не дало.
https://cloud.mail.ru/public/2zVE/LPgVRnqwe
Подскажите, что можно ещё проверить? Или как правильно настроить приоритеты? Повторюсь ещё раз, помогает только исключение из портов бриджа тунелей, даже дизактивация тунелей в интерфейсах результата не даёт.
https://cloud.mail.ru/public/JGaH/12wQ92L9v
Сразу предупрежу, проблема 100% не в настройках wi-fi, т.к. был ещё загнан vlan в этот bridge и завёл в этот vlan один ПК, проблема также себя проявила.
SSL handshake aborted
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
буквально на днях смотрел выступления Дмитрия Калинина с МУМ в Москве,
тему доклада не помню, он там рассказывал о создании сети на транспорте PPTP и поверх него уже
EOIP. Но суть не в этом, он там затрагивал тему что у него были глюки с неработоспособностью туннелей EOIP,
и чтобы глюк победить, он там аналитику сделал на скрипте, также ему с зала крикнули,чтобы в настрйоках
туннеля EOIP он убрал параметр KeepAlive - якобы он делает хуже и чаще с ним туннель зависает.
Поэтому найдите на ютубу это видео, проанализируйте скрипт Дмитрия, ну и попробуйте с параметров Keepalive,
это всё что пока могу я посоветовать.
Не забудьте нам потом тут рассказать/поделиться
тему доклада не помню, он там рассказывал о создании сети на транспорте PPTP и поверх него уже
EOIP. Но суть не в этом, он там затрагивал тему что у него были глюки с неработоспособностью туннелей EOIP,
и чтобы глюк победить, он там аналитику сделал на скрипте, также ему с зала крикнули,чтобы в настрйоках
туннеля EOIP он убрал параметр KeepAlive - якобы он делает хуже и чаще с ним туннель зависает.
Поэтому найдите на ютубу это видео, проанализируйте скрипт Дмитрия, ну и попробуйте с параметров Keepalive,
это всё что пока могу я посоветовать.
Не забудьте нам потом тут рассказать/поделиться
-
- Сообщения: 5
- Зарегистрирован: 25 ноя 2016, 14:46
KeepAlive у меня вообще не задан на тунелях.