3 / 3 / 2
Регистрация: 19.11.2019
Сообщений: 132
|
|
MIKROTIK RB4011iGS+RM (v6.44.5) тормозит IPSec тоннель14.02.2020, 12:49. Показов 7240. Ответов 10
Метки нет Все метки)
(
Доброго дня, уважаемые форумчане!
6 месяцев назад, обьединил две сети средствами IPSec. На одной стороне тоннеля DFL-860E на втором конце тоннеля MIKROTIK RB4011iGS+RM Все работало нормально, скорость внутри тоннеля доходила до 6 мб/сек. Некоторое время назад, начал наблюдать падение скорости до 256кб/сек. На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась. Тоннель не падает, а именно тормозит. При переходе на резервного провайдера на DFL-860E, скорость возрастает до 2 мб/сек. внутри тоннеля, но не больше. Провайдеры клянутся, что ничего не меняли. Прошу помощи, в том чтобы разобраться: 1. Какое из устройств "замедляет" канал? Каким ПО можно ловить пакеты между объединенными сетями? Предполагаю, что это поможет понять откуда пакеты уходят, но куда не доходят. 2. Как устранить "тормоза"? Результат выполнения на микротике export hide-sensitivy: Кликните здесь для просмотра всего текста
# feb/14/2020 12:30:41 by RouterOS 6.44.5
# software id = *********** # # model = RB4011iGS+ # serial number = *************** /interface bridge add admin-mac=*********************** auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] mtu=1592 /interface ethernet switch port set 0 default-vlan-id=0 set 1 default-vlan-id=0 set 2 default-vlan-id=0 set 3 default-vlan-id=0 set 4 default-vlan-id=0 set 5 default-vlan-id=0 set 6 default-vlan-id=0 set 7 default-vlan-id=0 set 8 default-vlan-id=0 set 9 default-vlan-id=0 set 10 default-vlan-id=0 set 11 default-vlan-id=0 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec profile add enc-algorithm=des hash-algorithm=md5 name=dfl-algoritms /ip ipsec peer add address=X1X1X1X!X1X1/32 comment="MS #0" name=peer3 profile=dfl-algoritms add address=X2X2X2X2X2X2/32 comment="AM bacup #1" name=peer2 profile=dfl-algoritms add address=X3X32X3X3X3X3/32 comment="Sklad #2" name=peer4 profile=dfl-algoritms add address=X4X4X4X4X4X4/32 comment="AM main #3" disabled=yes name=peer1 profile=dfl-algoritms /ip ipsec proposal add auth-algorithms=md5 enc-algorithms=des name=dfl-algoritms pfs-group=none /ip pool add name=dhcp ranges=192.168.2.10-192.168.2.99 add name=vpn-pool ranges=192.168.11.2-192.168.11.5 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /ppp profile add change-tcp-mss=yes dns-server=192.168.11.1 local-address=192.168.11.1 name=PPTP-profile \ remote-address=vpn-pool /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether9 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=sfp-sfpplus1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface pptp-server server set default-profile=PPTP-profile /ip address add address=192.168.2.1/24 comment=defconf interface=bridge network=192.168.2.0 add address=X5X5X5X5X5X5/30 interface=ether1 network=X5X5X5X5X5X5-NET /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.2.0/24 comment=defconf dns-server=192.168.5.2,8.8.8.8,89.221.201.11 gateway=\ 192.168.2.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.5.2,8.8.8.8,89.221.201.1 1 /ip dns static add address=192.168.2.1 name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" \ connection-state=established,related,untracked add action=accept chain=input in-interface=all-ppp protocol=ospf add action=accept chain=forward protocol=tcp src-port=445 add action=accept chain=input dst-port=500 protocol=udp src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=ipsec-esp src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=ipsec-ah src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=udp src-address=X4X4X4X4X4X4 add action=accept chain=input dst-port=500 protocol=udp src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=ipsec-esp src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=ipsec-ah src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=udp src-address=X2X2X2X2X2X2 add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\ established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" \ connection-state=established,related,untracked add action=accept chain=input disabled=yes dst-port=1723 in-interface=ether1 protocol=tcp add action=accept chain=input comment="Dostup iz seti 5.0/24 v WEB interface" dst-port=80 protocol=\ tcp src-address=192.168.5.0/24 add action=accept chain=input comment="Dostup iz seti 5.0/24 v Winbox" dst-port=8291 protocol=tcp \ src-address=192.168.5.0/24 add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=accept chain=srcnat dst-address=192.168.5.0/24 src-address=192.168.2.0/24 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \ out-interface-list=WAN /ip ipsec identity add peer=peer1 add peer=peer2 add peer=peer3 add peer=peer4 /ip ipsec policy add comment=IPSec_AM_Main disabled=yes dst-address=192.168.5.0/24 proposal=dfl-algoritms \ sa-dst-address=X4X4X4X4X4X4 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_AM_Backup dst-address=192.168.5.0/24 proposal=dfl-algoritms sa-dst-address=\ X2X2X2X2X2X2 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_MS dst-address=192.168.10.0/24 proposal=dfl-algoritms sa-dst-address=\ X1X1X1X!X1X1 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_Sklad dst-address=192.168.3.0/24 proposal=dfl-algoritms sa-dst-address=\ X3X32X3X3X3X3 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes /ip route add distance=1 gateway=X5X5X5X5X5X5-GW /ip service set telnet disabled=yes set ftp address=192.168.2.0/24,192.168.5.0/24 set www address=192.168.2.0/24,192.168.5.0/24 set ssh address=192.168.2.0/24,192.168.5.0/24 set api disabled=yes set winbox address=192.168.2.0/24,192.168.5.0/24 set api-ssl disabled=yes /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ppp secret add name=PPTP-Ovner profile=PPTP-profile service=pptp /routing ospf network add area=backbone network=192.168.5.0/24 /system clock set time-zone-name=Europe/Moscow /system package update set channel=long-term /system scheduler add interval=5s name=IPSec_failover on-event="{\r\ \n :local PrimaryPolicy 1\r\ \n :local SecondaryPolicy 2\r\ \n :local PrimaryPeer 3\r\ \n :local SecondaryPeer 1 \r\ \n\r\ \n :local PrimaryOK [ ![]() \n :local SecondaryOK [ ![]() \n :local PrimaryActive [/ip ipsec policy get \$PrimaryPolicy active];\r\ \n \r\ \n #:log info "Status: \$PrimaryOK \$SecondaryOK \$PrimaryActive";\r\ \n # Test case: set \$PrimaryOK 0;\r\ \n \r\ \n :if (\$PrimaryOK < 1 && \$SecondaryOK > 1 && \$PrimaryActive) do={\r\ \n :log warn "switch to failover";\r\ \n /ip ipsec policy disable \$PrimaryPolicy;\r\ \n /ip ipsec policy enable \$SecondaryPolicy;\r\ \n /ip ipsec peer disable \$PrimaryPeer;\r\ \n /ip ipsec peer enable \$SecondaryPeer;\r\ \n }\r\ \n :if (\$PrimaryOK = 3 && !\$PrimaryActive) do={\r\ \n :log warn "switch to primary";\r\ \n /ip ipsec policy disable \$SecondaryPolicy;\r\ \n /ip ipsec policy enable \$PrimaryPolicy;\r\ \n /ip ipsec peer disable \$SecondaryPeer;\r\ \n /ip ipsec peer enable \$PrimaryPeer;\r\ \n }\r\ \n}" policy=ftp,reboot,read,write,policy,test ,password,sniff,sensitive,romon start-date=\ oct/21/2019 start-time=13:19:32 /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /tool netwatch add disabled=yes down-script="/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes\r\ \n/ip ipsec policy set [find comment=\BBIPSec_Main\?] disabled=no\r\ \n" host=X4X4X4X4X4X4 interval=5s up-script="/ip ipsec policy set [find comment=\BBIPSec_Main\?]\ \_disabled=no\r\ \n/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes" Проблема наблюдается между сетями 192.168.5.0/24 и 192.168.2.0/24 Внейшний IP микротик: X5X5X5X5X5X5 Основной внешний IP DFL: X4X4X4X4X4X4 Запасной внешний IP DFL: X2X2X2X2X2X2
0
|
14.02.2020, 12:49 | |
Ответы с готовыми решениями:
10
IPSEC тоннель
|
6 / 6 / 1
Регистрация: 16.03.2013
Сообщений: 139
|
|
15.02.2020, 12:10 | |
Насколько можно понять, вы поменяли провайдера на удаленном узле (с X4X4X4X4X4X4 на X2X2X2X2X2X2). Проблема может быть с метками на стороне провайдера, вашего или промежуточного, неплохо было бы сделать трассировку с ван до ван по обоим провайдерам для полноты картины.
Насколько я понимаю, в тулзе самого микротика продиагностировать именно по ipsec вряд ли получится, так как нет ключа "указать источник", как есть у утилиты ping, соответственно, с роутера пакеты не попадут в канал. Но попробуйте уменьшить мощность шифрования - хотя бы в целях сужения возможных причин.
0
|
85 / 28 / 4
Регистрация: 07.07.2019
Сообщений: 99
|
||
15.02.2020, 13:43 | ||
вот так с ходу прям в глаза бросается
1) feb/14/2020 12:30:41 by RouterOS 6.44.5 как - то старовата ROS вы бы обновили до лонг-терм 6.45.8 (Long-term) или до стабильной 6.46.3 (Stable) в старых версиях дыры есть. 2) выключите правило add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid и на форвард то-же если есть точно дроп инвалид тормозит. 3) может есть очереди на dfl ? 4) может понижать до 1380 и посмотреть, цифра примерная из расчета l2tp+ipsec+pppoe(isp) 5) выкинуть (временно) dfl и поставить микротик для теста и посмотреть скорость на тех же провайдерах. хоть я и склоняюсь к инвалид и mtu уменьшить ну и ROS и RouterBoard FW обновить. Добавлено через 1 час 12 минут сделайте трассировку с разной длинной пакета измените mtu и еще раз трассировку
0
|
85 / 28 / 4
Регистрация: 07.07.2019
Сообщений: 99
|
||
16.02.2020, 07:53 | ||
t.me/miktrain Добавлено через 4 минуты Роман Козлов на вебинаре прямо говорит мешает ivalid Добавлено через 16 минут t.me/miktrain/87288 Oleksandr K, [24.11.18 02:54] но на самом деле, все просто инвалидные пакеты это любые пакеты которые не относятся к уже установленным соединениям с контрака и не являются SYN пакетами для установления этих соединений Oleksandr K, [24.11.18 02:55] потому если такие пакеты имеют место быть в сети и они нужны, то это не стоит использовать
0
|
![]() ![]() 5603 / 2214 / 473
Регистрация: 17.10.2015
Сообщений: 9,396
|
|
16.02.2020, 22:10 | |
ну, возможно. Но всё равно нужно по обстоятельствам смотреть, а не применять поголовно советы бывалых. Вот пока сам не поймешь, вот тогда можно и отключать какие то там правила. Я лично, думаю, что инвалидные пакеты это не что иное как мусор. Правило блокировки их стоит первым в фаерволе.
0
|
85 / 28 / 4
Регистрация: 07.07.2019
Сообщений: 99
|
|
17.02.2020, 04:20 | |
invalid — пакет от неизвестного соединения
https://habr.com/ru/post/435070/ и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик. и/или поместить ниже правила с впн/gre https://t.me/MikrotikRus/731137
1
|
Модератор
![]() ![]() ![]() 1947 / 723 / 156
Регистрация: 10.06.2009
Сообщений: 2,867
|
||
17.02.2020, 17:32 | ||
1
|
3 / 3 / 2
Регистрация: 19.11.2019
Сообщений: 132
|
|
18.02.2020, 10:13 [ТС] | |
Доброго дня!
Спасибо за ответы! Ситуация оказалась весьма интересной, и как-бы это сказать "комплексной"))) 1-я часть "комплексной" задачи. Как ранее заметили, в DFL идут два провайдера. Начал попеременно тестировать скорость внутри канала при провайдере 1, и при провайдере 2. На обоих провайдерах скорость выхода в Интернет - 80-90 мбит/с. При активном провайдере 1, скорость внутри тоннеля 200 кб/с. На провайдере 2, скорость 4 мбит/с. Позвонил в саппорт провайдера 1, описал ситуацию, на что мне сказали, что искать ошибку слишком долго, поэтому заниматься они этим не будут. 2-я часть, заключалась в оборудовании за DFL-ом. Начал сбоить 10-ти гигабитный коммутатор, в который были подключены все сетевые коммутаторы. Сбоящий коммутатор исключил из работы. После этого скорость внутри тоннеля при провайдере 1 - 4 мбит/с, при втором - 7,5 мбит/с. По итогу, отказываюсь от прова 1 - такой сапорт мне не нужен; закупаю новый коммутатор. Ну и урок, что зрить надо не только в корень, но и за корень ![]()
1
|
6 / 6 / 1
Регистрация: 16.03.2013
Сообщений: 139
|
|
18.02.2020, 18:53 | |
Че-то Вы никакой сути не рассказали об архитектуре вашей распределенной сети. Мне, например, непонятно, каким образом "сбоил" коммутатор (в чем это проявлялось, какой модели коммутатор, управляемый/неуправляемый, что с коммутатором пытались сделать до его удаления, заходили ли в его админку, есть ли там петли коммутации, настроены ли вланы, какие функции на портах включены, есть ли в системе транки и т.д. и т.п.). Лично мне пока не приходит в голову, почему в интернет (в роутер) пакеты улетают корректно с коммутатора, а в соседнюю сеть - неправильно, если кто разъяснит ил даст предположения, буду сердечно признателен.
А со стороны DFL вообще нет никакой конфигурации Инвалидные пакеты из интернета вряд ли имеют отношение к проблеме IPSec, тем более в forwarde-е, а вот в самом канале их можно посмотреть командой /ip ipsec statistics print Можно также вывести дебаг в лог. Все традиционно и упорно пишут в микротах выше общего маскарадинга между частными удаленными сетями, хотя он там совсем не нужен, это прекрасно отрабатывается политикой ipsec на in и out в файрвол - нат add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=wan_list
1
|
3 / 3 / 2
Регистрация: 19.11.2019
Сообщений: 132
|
||||
20.02.2020, 10:14 [ТС] | ||||
За DFL-ом стоял сетевой коммутатор, в этот коммутатор подключались сетевые коммутаторы к которым уже подключались ПК пользователей. Тестил следующим образом - подключаю Netgear в DFL, далее в Netgear подключаю сетевой коммутатор, в коммутатор подключаю ноут. Ноут вместо DHCP получает адрес типа 169.254.136.40. Соответственно в сетку ноут не смотрит. Убираю из этой цепи Netgear - ноут получает сеть. На этом пока и остановился, коммутатор неуправляемый, максимум что можно это задать ему IP. Вланы через Netgear не ходили. Если бы изначально были такие проблемы т.е. настроил - ничего не работает, тут рыл значительно глубже. А сейчас, удалив одно сбоящее звено, все работает.
0
|
20.02.2020, 10:14 | |
Помогаю со студенческими работами здесь
11
Настройка IPSec на Mikrotik Mikrotik ipsec vpn IPsec туннель Mikrotik и PFSense Подружить pfSense и Mikrotik по IPsec IPSec VPN между Mikrotik и Cisco Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Опции темы | |
|
Новые блоги и статьи
![]() |
||||
Облачные приложения на Rust: руководство по архитектуре микросервисов
golander 13.07.2025
Когда я впервые взялся за проектирование облачной платформы для одного из наших клиентов, выбор стоял между привычными Go и Java. Но после нескольких месяцев разработки микросервисной системы,. . .
|
Как Node.js выполняет асинхронные операции
Reangularity 13.07.2025
Каждый раз, когда я рассказываю про Node. js, возникает один и тот же вопрос: "Как эта штука может быть быстрой, если JavaScript — однопоточный язык?" И это действительно кажется парадоксом. Ведь в. . .
|
Как писать чистый, тестируемый и качественный код на Python
py-thonny 12.07.2025
Помню свой первый проект на Python. Работал тогда быстро, грязно, лишь бы работало. Код был похож на запутанный клубок - переменные по одной букве, функции на 200 строк, комментарии отсутствовали как. . .
|
Blazor и контроллер сервопривода IoT Meadow Maple
Wired 11.07.2025
Я решил разобраться, как можно соединить современные веб-технологии с миром "железа". Интересная комбинация получилась из Blazor в качестве веб-интерфейса и микроконтроллера Meadow с его веб-сервером. . .
|
Генерация OpenQASM из кода Q#
EggHead 10.07.2025
Летом 2024-го я начал эксперименты с библиотекой Q# Bridge, и знаете что? Она оказалась просто находкой для тех, кто работает на стыке разных квантовых экосистем. Основная фишка этой библиотеки -. . .
|
Изучаем новый шаблон ИИ-чата .NET AI Chat Web App
stackOverflow 10.07.2025
В . NET появилось интересное обновление - новый шаблон ИИ-чата под названием . NET AI Chat Web App. Когда я впервые наткнулся на анонс этого шаблона, то сразу понял, что Microsoft наконец-то. . .
|
Результаты исследования от команды ARP (июль 2025 г.)
Programma_Boinc 10.07.2025
Результаты исследования от команды ARP (июль 2025 г. )
Африканский проект по дождям (ARP) World Community Grid снова запущен! Мы рады поделиться обновленной информацией о нашем прогрессе с осени. . .
|
Angular vs Svelte - что лучше?
Reangularity 09.07.2025
Сегодня рынок разделился на несколько четких категорий: тяжеловесы корпоративного уровня (Angular), гибкие универсалы (React), прогрессивные решения (Vue) и новая волна компилируемых фреймворков. . .
|
Code First и Database First в Entity Framework
UnmanagedCoder 09.07.2025
Entity Framework дает нам свободу выбора, предлагая как Code First, так и Database First подходы. Но эта свобода порождает вечный вопрос — какой подход выбрать?
Entity Framework — это. . .
|
Как использовать Bluetooth-модуль HC-05 с Arduino
Wired 08.07.2025
Bluetooth - это технология, созданная чтобы заменить кабельные соединения. Обычно ее используют для связи небольших устройств: мобильных телефонов, ноутбуков, наушников и т. д. Работает она на частоте. . .
|