Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Cisco+Mikrotik VPN tunnels

https://forummikrotik.ru/viewtopic.php?t=4338

Страница 1 из 3

Cisco+Mikrotik VPN tunnels

Добавлено: 07 окт 2013, 17:20
Intarr
Добрый день форумчане, с mikrotik общаюсь не долго, но уже радует.

Вводные данные:
CCR-1036 - на одной стороне.
На нем настроено 2 ISP провайдера с авто переключением.
Поднят VPN в удалённый офис - (ipip+pptp) (с другой стороны мтик)

Существует так же:
Cisco 1921 - на другой удалённый офис.
Настраивал разные туннели (ipip+ipsec; gre; ipip)

Все они работали за исключением двух НО.

1. На все хосты в удалённом офисе разрешено только по одной RDP сессии (виндой разрешено гораздо больше) вне зависимости от того какой туннель поднимался (ipip, gre, ipsec они-же вперемешку) - думаю что тут вопрос правил firewall - т.к. с мтиком в другом офисе всё работает, но буду признателен за помощь.

2. Пропускная способность туннелей не более 8000-10000 кбит/сек (~1 Мбайт/сек) - несмотря на то что канал интернет 100 Мбит/сек(с обеих сторон) и руками не ограничивался. Мне казалось что на 256 мб/оперативки и загрузки проца до 70-90% можно поднять хотябы до 15 мб/сек. в шифровании и до 30 без.

Подскажите куда копать с этими вопросами?
если всё просто и необходимы конфигурации - вышлю.
Заранее спасибо.

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 07 окт 2013, 18:31
vqd
1. Connection limit на РДП соединения сделайте
2. Тут уж пришлите supout.rif мосмотрим

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 09:09
Intarr
Куда прислать supout к форуму не цепляется - запрещено.


+ конфигурация интерфейсов на Cisco:
 
interface Tunnel0
ip address 10.0.1.2 255.255.255.0
tunnel source xx.xx.xx.xx
tunnel destination yy.yy.yy.y

interface GigabitEthernet0/0
description up-link
ip address xx.xx.xx.xx 255.255.255.240
load-interval 30
duplex auto
speed auto

interface GigabitEthernet0/1
ip address zz.zz.zz.z 255.255.255.0
load-interval 30
duplex auto
speed auto


Cisco1921#sh int tunnel 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.0.1.2/24
MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source xx.xx.xx.xx, destination yy.yy.yy.yy
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255, Fast tunneling enabled
Tunnel transport MTU 1476 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:32, output 00:00:03, output hang never
Last clearing of "show interface" counters 18:40:51
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 20
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
2602510 packets input, 3524373172 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
519934 packets output, 42300360 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out

Cisco1921#sh int gi0/0
GigabitEthernet0/0 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is MAC (bia MAC)
Description: up-link
Internet address is xx.xx.xx.xx/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full Duplex, 1Gbps, media type is RJ45
output flow-control is unsupported, input flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 4000 bits/sec, 8 packets/sec
30 second output rate 5000 bits/sec, 9 packets/sec
2637612 packets input, 3563446626 bytes, 0 no buffer
Received 13603 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
552163 packets output, 52741345 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out

Cisco1921#sh int gi0/1
GigabitEthernet0/1 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is MAC (bia MAC)
Internet address is zz.zz.zz.z/24
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full Duplex, 1Gbps, media type is RJ45
output flow-control is unsupported, input flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:32, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 1
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
516558 packets input, 39692853 bytes, 0 no buffer
Received 1061 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
2612095 packets output, 3499181124 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
3 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 09:13
vqd
supout.rif не прицепился

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 09:39
Intarr
Запрещено настройками форума прикреплять объекты с таким расширением.
(при изменении на txt и т.д. та-же история.)

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 09:41
vqd
архивы можно выкладывать, ну или на support@mikrotik.ru

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 09:48
Intarr
Файлик.

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 09:58
vqd
Похоже проблема в MTU

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 11:53
Intarr
Давайте считать:

Стандарт MTU для физических интерфейсов 1500 - это первое что устанавливается на маршрутизаторы т.к данная настройка требует перезагрузки оборудования. не думаю что по пути до другого маршрутизатора провайдеры выставляли другие значения MTU

Итого имеем 1500 - (24 байта)GRE = 1476. У тоннеля 1476. На физике 1500. Поправьте меня если я где-то неправ?..
т.е. я конечно понимаю что с VPN довольно часто появляются проблемы с MTU - но ведь посчитал.

Re: Cisco+Mikrotik VPN tunnels

Добавлено: 08 окт 2013, 11:58
vqd
Если я правильно понял конфиг циски то на циске и микротике они разные на одном и том же тоннеле. Могу и ошибатся т.к. с цисками практически не сталкивался.
Часовой пояс: UTC+03:00
Страница 1 из 3

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB