Cisco+Mikrotik VPN tunnels

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Intarr
Сообщения: 0
Зарегистрирован: 07 авг 2013, 14:09

Добрый день форумчане, с mikrotik общаюсь не долго, но уже радует.

Вводные данные:
CCR-1036 - на одной стороне.
На нем настроено 2 ISP провайдера с авто переключением.
Поднят VPN в удалённый офис - (ipip+pptp) (с другой стороны мтик)

Существует так же:
Cisco 1921 - на другой удалённый офис.
Настраивал разные туннели (ipip+ipsec; gre; ipip)

Все они работали за исключением двух НО.

1. На все хосты в удалённом офисе разрешено только по одной RDP сессии (виндой разрешено гораздо больше) вне зависимости от того какой туннель поднимался (ipip, gre, ipsec они-же вперемешку) - думаю что тут вопрос правил firewall - т.к. с мтиком в другом офисе всё работает, но буду признателен за помощь.

2. Пропускная способность туннелей не более 8000-10000 кбит/сек (~1 Мбайт/сек) - несмотря на то что канал интернет 100 Мбит/сек(с обеих сторон) и руками не ограничивался. Мне казалось что на 256 мб/оперативки и загрузки проца до 70-90% можно поднять хотябы до 15 мб/сек. в шифровании и до 30 без.

Подскажите куда копать с этими вопросами?
если всё просто и необходимы конфигурации - вышлю.
Заранее спасибо.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

1. Connection limit на РДП соединения сделайте
2. Тут уж пришлите supout.rif мосмотрим


Есть интересная задача и бюджет? http://mikrotik.site
Intarr
Сообщения: 0
Зарегистрирован: 07 авг 2013, 14:09

Куда прислать supout к форуму не цепляется - запрещено.


+ конфигурация интерфейсов на Cisco:
 
interface Tunnel0
ip address 10.0.1.2 255.255.255.0
tunnel source xx.xx.xx.xx
tunnel destination yy.yy.yy.y

interface GigabitEthernet0/0
description up-link
ip address xx.xx.xx.xx 255.255.255.240
load-interval 30
duplex auto
speed auto

interface GigabitEthernet0/1
ip address zz.zz.zz.z 255.255.255.0
load-interval 30
duplex auto
speed auto


Cisco1921#sh int tunnel 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.0.1.2/24
MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source xx.xx.xx.xx, destination yy.yy.yy.yy
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255, Fast tunneling enabled
Tunnel transport MTU 1476 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:32, output 00:00:03, output hang never
Last clearing of "show interface" counters 18:40:51
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 20
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
2602510 packets input, 3524373172 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
519934 packets output, 42300360 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out

Cisco1921#sh int gi0/0
GigabitEthernet0/0 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is MAC (bia MAC)
Description: up-link
Internet address is xx.xx.xx.xx/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full Duplex, 1Gbps, media type is RJ45
output flow-control is unsupported, input flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 4000 bits/sec, 8 packets/sec
30 second output rate 5000 bits/sec, 9 packets/sec
2637612 packets input, 3563446626 bytes, 0 no buffer
Received 13603 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
552163 packets output, 52741345 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out

Cisco1921#sh int gi0/1
GigabitEthernet0/1 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is MAC (bia MAC)
Internet address is zz.zz.zz.z/24
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full Duplex, 1Gbps, media type is RJ45
output flow-control is unsupported, input flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:32, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 1
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
516558 packets input, 39692853 bytes, 0 no buffer
Received 1061 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
2612095 packets output, 3499181124 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
3 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

supout.rif не прицепился


Есть интересная задача и бюджет? http://mikrotik.site
Intarr
Сообщения: 0
Зарегистрирован: 07 авг 2013, 14:09

Запрещено настройками форума прикреплять объекты с таким расширением.
(при изменении на txt и т.д. та-же история.)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

архивы можно выкладывать, ну или на support@mikrotik.ru


Есть интересная задача и бюджет? http://mikrotik.site
Intarr
Сообщения: 0
Зарегистрирован: 07 авг 2013, 14:09

Файлик.
Последний раз редактировалось Intarr 09 окт 2013, 10:06, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Похоже проблема в MTU


Есть интересная задача и бюджет? http://mikrotik.site
Intarr
Сообщения: 0
Зарегистрирован: 07 авг 2013, 14:09

Давайте считать:

Стандарт MTU для физических интерфейсов 1500 - это первое что устанавливается на маршрутизаторы т.к данная настройка требует перезагрузки оборудования. не думаю что по пути до другого маршрутизатора провайдеры выставляли другие значения MTU

Итого имеем 1500 - (24 байта)GRE = 1476. У тоннеля 1476. На физике 1500. Поправьте меня если я где-то неправ?..
т.е. я конечно понимаю что с VPN довольно часто появляются проблемы с MTU - но ведь посчитал.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Если я правильно понял конфиг циски то на циске и микротике они разные на одном и том же тоннеле. Могу и ошибатся т.к. с цисками практически не сталкивался.


Есть интересная задача и бюджет? http://mikrotik.site
Ответить