Здравствуйте. Помогите, плииз, разобраться. Есть два "клиентских" микротика 3011 и один "клиентский" 951, они соединены с ещё одним "серверным" 3011 GRE туннелями. И вроде всё прекрасно работает, НО если на одном из "клиентских" микротиков пропадает связь, то, при восстановлении связи на "клиентском" микротике, GRE интерфейс с ним не переходит в состояние "Running". При этом в логе всегда появляется запись ISAKMP-SA established.
Я никак не могу понять, что нужно GRE интерфейсу, чтобы автоматически при восстановлении связи перейти в состояние Running??!!
При этом этот глюк не постоянный, т.е. примерно в 50% случаев GRE всё таки поднимается автоматом.
Не "поднимается" GRE интерфейс
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Вы начните с анализа самой проблемы. Связь пропала, ГРЕ не поднялся. Собственно смотрите соединения, что куда и в каком виде приходит. Тогда и станет понятно чего он не поднимается то. Отключите тот же ИП сек что бы сначала с чистым ГРЕ разобратся
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Подскажите как отключить IPSec так, чтоб сам туннель работал? В каком меню? Желательно только для одного туннеля. Настройки IPSec у меня дефолтные, GRE-туннели создавал через меню интерфейсов.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну я не думаю что вы специально настраивали ИпСек, поэтому в настройках ГРЕ
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Т.е. просто убрать IPSec secret в настройках GRE-туннеля? Верно я Вас понял?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Ок, сделал. Буду мониторить.
Спасибо за подсказку
Спасибо за подсказку
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Какие версии прошивки на устройствах?
На новых прошивках поправлена уязвимость, когда gre-туннель поднимался, даже если не было соответствующих разрешающих правил в firewall'е.
Так что если на одном конце туннеля у устройства старая прошивка, на другом - новая, то при некорректной настройке firewall'а такой туннель будет подниматься "через раз", в зависимости от того, какой из концов туннеля успевает отправить первый пакет.
На новых прошивках поправлена уязвимость, когда gre-туннель поднимался, даже если не было соответствующих разрешающих правил в firewall'е.
Так что если на одном конце туннеля у устройства старая прошивка, на другом - новая, то при некорректной настройке firewall'а такой туннель будет подниматься "через раз", в зависимости от того, какой из концов туннеля успевает отправить первый пакет.
Telegram: @thexvo
-
- Сообщения: 12
- Зарегистрирован: 21 окт 2019, 04:26
Прошивки действительно "не последние" - исправлю!
Объясните, пожалуйста, подробнее, что Вы имеете в виду под: "в зависимости от того, какой из концов туннеля успевает отправить первый пакет"?
Как корректно настроить GRE-туннель с IPSec, чтобы первый пакет "правильно" отправлялся нужным роутером?
Какой роутер по Вашему в моей схеме должен отправлять "первый" пакет: "серверный" или "клиентский"?
Объясните, пожалуйста, подробнее, что Вы имеете в виду под: "в зависимости от того, какой из концов туннеля успевает отправить первый пакет"?
Как корректно настроить GRE-туннель с IPSec, чтобы первый пакет "правильно" отправлялся нужным роутером?
Какой роутер по Вашему в моей схеме должен отправлять "первый" пакет: "серверный" или "клиентский"?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Правильно настроенному туннелю все равно, кто отправляет первый пакет. GRE - это stateless туннель, у него нет такого понятия как клиент или сервер.
Сначала убедитесь, что проблема вообще именно в этом.
На всех роутерах с прошивкой старше 6.45.x должны быть разрешающие GRE правила firewall'а. Плюс там с этим есть пока неисправленный баг, что если вдруг выключен pptp-helper, то первый gre-пакет пакет ошибочно попадает под drop стандартного правила сбрасывающего invalid пакеты. В общем, pptp-helper должен быть включен.
Сначала убедитесь, что проблема вообще именно в этом.
На всех роутерах с прошивкой старше 6.45.x должны быть разрешающие GRE правила firewall'а. Плюс там с этим есть пока неисправленный баг, что если вдруг выключен pptp-helper, то первый gre-пакет пакет ошибочно попадает под drop стандартного правила сбрасывающего invalid пакеты. В общем, pptp-helper должен быть включен.
Telegram: @thexvo