Периодически отваливается VPN (duplicate packet, dropping)
Добавлено: 15 окт 2015, 14:38
Добрый день, уважаемые форумчане!
Возможно, тема не совсем корректно звучит, ибо как бы сам VPN-то не падает, а просто периодически происходит какое-то задвоение пакетов у удаленных VPN-пользователей и как следствие - происходит отвал. С микротиком знаком совсем недавно, так что просьба сильно не пинать :D
Имеем CCR1009-8G-1S с RouterOS 6.32.1, на котором поднят OpenVPN, с vlan'ом, который видит нашу реальную сетку и на котором "точечно настроена" возможность получения удаленными vpn-клиентами доступа к конкретным IP в нашей сетке с конкретными портами по TCP протоколу.
Прилагаю скриншоты с тем, как это выглядит на самом микротике и как это выглядит в том числе и со стороны самого компа когда проблема возникает (возможно что-то даже излишне). Из скриншота с микротиком видно, что клиент kassa встречается 2 раза, хотя на самом деле это один и тот же комп.
А вот наш конфиг:
Люди добрые, подскажите, в чем может быть проблема и где что подкрутить? Уже и lease time в dhcp менял - поставил 10 минут, и разные значения MTU выставлять пробовал, ничего не помогает.
Заранее благодарен за любую инфу.
Возможно, тема не совсем корректно звучит, ибо как бы сам VPN-то не падает, а просто периодически происходит какое-то задвоение пакетов у удаленных VPN-пользователей и как следствие - происходит отвал. С микротиком знаком совсем недавно, так что просьба сильно не пинать :D
Имеем CCR1009-8G-1S с RouterOS 6.32.1, на котором поднят OpenVPN, с vlan'ом, который видит нашу реальную сетку и на котором "точечно настроена" возможность получения удаленными vpn-клиентами доступа к конкретным IP в нашей сетке с конкретными портами по TCP протоколу.
Прилагаю скриншоты с тем, как это выглядит на самом микротике и как это выглядит в том числе и со стороны самого компа когда проблема возникает (возможно что-то даже излишне). Из скриншота с микротиком видно, что клиент kassa встречается 2 раза, хотя на самом деле это один и тот же комп.
А вот наш конфиг:
Код: Выделить всё
# oct/12/2015 13:31:25 by RouterOS 6.32.1
# software id = XXXX-XXX
#
/interface ethernet
set [ find default-name=ether5 ] name=eth1-wan
set [ find default-name=ether6 ] name=eth2-lan
set [ find default-name=ether7 ] name=eth3-lan
set [ find default-name=ether8 ] name=eth4-lan
set [ find default-name=ether1 ] name=eth5-lan
set [ find default-name=ether2 ] name=eth6-lan
set [ find default-name=ether3 ] name=eth7-lan
set [ find default-name=ether4 ] name=eth8-lan
/interface vlan
add interface=eth2-lan l2mtu=1574 name=vlan1 vlan-id=1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=vpn_pool ranges=172.16.0.10-172.16.0.250
/ip dhcp-server
add address-pool=vpn_pool disabled=no interface=vlan1 name=dhcp_pc
/ppp profile
add local-address=172.16.0.1 name=ovpn remote-address=vpn_pool
/interface ovpn-server server
set certificate=cert_2 cipher=blowfish128,aes128,aes192,aes256 default-profile=ovpn enabled=yes require-client-certificate=yes
/ip address
add address=xxx.xx.xxx.252/29 interface=eth1-wan network=xxx.xx.xxx.248
add address=192.168.4.2/24 interface=eth2-lan network=192.168.4.0
add address=172.16.0.1/24 interface=vlan1 network=172.16.0.0
/ip dhcp-server network
add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=xxx.xx.192.33,xxx.xx.192.39
/ip dns static
add address=192.168.4.2 name=MikroTik
/ip firewall filter
add chain=input dst-port=1194 in-interface=eth1-wan protocol=tcp
add chain=input in-interface=eth1-wan protocol=icmp
add chain=input connection-state=established,related in-interface=eth1-wan
add action=drop chain=input in-interface=eth1-wan
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=eth1-wan new-connection-mark=ISP_conn passthrough=no
add action=mark-routing chain=output connection-mark=ISP_conn new-routing-mark=to_ISP passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan
add action=masquerade chain=srcnat disabled=yes out-interface=eth2-lan
add action=masquerade chain=srcnat dst-address=192.168.4.53 dst-port=1433 out-interface=eth2-lan protocol=tcp
add action=masquerade chain=srcnat dst-address=192.168.4.70 dst-port=8080 out-interface=eth2-lan protocol=tcp
add action=masquerade chain=srcnat dst-address=192.168.4.53 dst-port=211 out-interface=eth2-lan protocol=tcp
/ip route
add check-gateway=arp distance=1 gateway=xxx.xx.xxx.249
/ip service
set telnet address=192.168.4.0/24
set ftp address=192.168.4.0/24
set www address=192.168.4.0/24,172.16.0.0/24,xxx.xx.xxx.250/32,xx.xx.xxx.108/32
set ssh address=192.168.4.0/24
set api address=192.168.4.0/24
set winbox address=192.168.4.0/24,172.16.0.0/24,xxx.xx.xxx.250/32,xx.xx.xxx.108/32
set api-ssl address=192.168.4.0/24
/ppp secret
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
add name=USER password=password profile=ovpn service=ovpn
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=85.21.78.8 secondary-ntp=78.140.251.2 server-dns-names=""
/system package update
set channel=current
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=eth2-lan
/tool romon port
add
Люди добрые, подскажите, в чем может быть проблема и где что подкрутить? Уже и lease time в dhcp менял - поставил 10 минут, и разные значения MTU выставлять пробовал, ничего не помогает.
Заранее благодарен за любую инфу.