MIKROTIK RB4011iGS+RM (v6.44.5) тормозит IPSec тоннель

@Vadim_PV · Регистрация: 19.11.2019

Студворк — интернет-сервис помощи студентам

Доброго дня, уважаемые форумчане!

6 месяцев назад, обьединил две сети средствами IPSec.
На одной стороне тоннеля DFL-860E на втором конце тоннеля MIKROTIK RB4011iGS+RM
Все работало нормально, скорость внутри тоннеля доходила до 6 мб/сек.

Некоторое время назад, начал наблюдать падение скорости до 256кб/сек.
На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась.
Тоннель не падает, а именно тормозит.
При переходе на резервного провайдера на DFL-860E, скорость возрастает до 2 мб/сек. внутри тоннеля, но не больше.
Провайдеры клянутся, что ничего не меняли.

Прошу помощи, в том чтобы разобраться:
1. Какое из устройств "замедляет" канал? Каким ПО можно ловить пакеты между объединенными сетями? Предполагаю, что это поможет понять откуда пакеты уходят, но куда не доходят.
2. Как устранить "тормоза"?

Результат выполнения на микротике export hide-sensitivy:

Кликните здесь для просмотра всего текста

# feb/14/2020 12:30:41 by RouterOS 6.44.5
# software id = ***********
#
# model = RB4011iGS+
# serial number = ***************
/interface bridge
add admin-mac=*********************** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mtu=1592
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add enc-algorithm=des hash-algorithm=md5 name=dfl-algoritms
/ip ipsec peer
add address=X1X1X1X!X1X1/32 comment="MS #0" name=peer3 profile=dfl-algoritms
add address=X2X2X2X2X2X2/32 comment="AM bacup #1" name=peer2 profile=dfl-algoritms
add address=X3X32X3X3X3X3/32 comment="Sklad #2" name=peer4 profile=dfl-algoritms
add address=X4X4X4X4X4X4/32 comment="AM main #3" disabled=yes name=peer1 profile=dfl-algoritms
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=des name=dfl-algoritms pfs-group=none
/ip pool
add name=dhcp ranges=192.168.2.10-192.168.2.99
add name=vpn-pool ranges=192.168.11.2-192.168.11.5
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=192.168.11.1 local-address=192.168.11.1 name=PPTP-profile \
remote-address=vpn-pool
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set default-profile=PPTP-profile
/ip address
add address=192.168.2.1/24 comment=defconf interface=bridge network=192.168.2.0
add address=X5X5X5X5X5X5/30 interface=ether1 network=X5X5X5X5X5X5-NET
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf dns-server=192.168.5.2,8.8.8.8,89.221.201.11 gateway=\
192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.5.2,8.8.8.8,89.221.201.1 1
/ip dns static
add address=192.168.2.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
connection-state=established,related,untracked
add action=accept chain=input in-interface=all-ppp protocol=ospf
add action=accept chain=forward protocol=tcp src-port=445
add action=accept chain=input dst-port=500 protocol=udp src-address=X4X4X4X4X4X4
add action=accept chain=input protocol=ipsec-esp src-address=X4X4X4X4X4X4
add action=accept chain=input protocol=ipsec-ah src-address=X4X4X4X4X4X4
add action=accept chain=input protocol=udp src-address=X4X4X4X4X4X4
add action=accept chain=input dst-port=500 protocol=udp src-address=X2X2X2X2X2X2
add action=accept chain=input protocol=ipsec-esp src-address=X2X2X2X2X2X2
add action=accept chain=input protocol=ipsec-ah src-address=X2X2X2X2X2X2
add action=accept chain=input protocol=udp src-address=X2X2X2X2X2X2
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
connection-state=established,related,untracked
add action=accept chain=input disabled=yes dst-port=1723 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="Dostup iz seti 5.0/24 v WEB interface" dst-port=80 protocol=\
tcp src-address=192.168.5.0/24
add action=accept chain=input comment="Dostup iz seti 5.0/24 v Winbox" dst-port=8291 protocol=tcp \
src-address=192.168.5.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
out-interface-list=WAN
/ip ipsec identity
add peer=peer1
add peer=peer2
add peer=peer3
add peer=peer4
/ip ipsec policy
add comment=IPSec_AM_Main disabled=yes dst-address=192.168.5.0/24 proposal=dfl-algoritms \
sa-dst-address=X4X4X4X4X4X4 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
add comment=IPSec_AM_Backup dst-address=192.168.5.0/24 proposal=dfl-algoritms sa-dst-address=\
X2X2X2X2X2X2 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
add comment=IPSec_MS dst-address=192.168.10.0/24 proposal=dfl-algoritms sa-dst-address=\
X1X1X1X!X1X1 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
add comment=IPSec_Sklad dst-address=192.168.3.0/24 proposal=dfl-algoritms sa-dst-address=\
X3X32X3X3X3X3 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
/ip route
add distance=1 gateway=X5X5X5X5X5X5-GW
/ip service
set telnet disabled=yes
set ftp address=192.168.2.0/24,192.168.5.0/24
set www address=192.168.2.0/24,192.168.5.0/24
set ssh address=192.168.2.0/24,192.168.5.0/24
set api disabled=yes
set winbox address=192.168.2.0/24,192.168.5.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=PPTP-Ovner profile=PPTP-profile service=pptp
/routing ospf network
add area=backbone network=192.168.5.0/24
/system clock
set time-zone-name=Europe/Moscow
/system package update
set channel=long-term
/system scheduler
add interval=5s name=IPSec_failover on-event="{\r\
\n :local PrimaryPolicy 1\r\
\n :local SecondaryPolicy 2\r\
\n :local PrimaryPeer 3\r\
\n :local SecondaryPeer 1 \r\
\n\r\
\n :local PrimaryOK [

ing count=3 src-address=192.168.2.1 X4X4X4X4X4X4];\r\
\n :local SecondaryOK [

ing count=3 src-address=192.168.2.1 X2X2X2X2X2X2];\r\
\n :local PrimaryActive [/ip ipsec policy get \$PrimaryPolicy active];\r\
\n \r\
\n #:log info "Status: \$PrimaryOK \$SecondaryOK \$PrimaryActive";\r\
\n # Test case: set \$PrimaryOK 0;\r\
\n \r\
\n :if (\$PrimaryOK < 1 && \$SecondaryOK > 1 && \$PrimaryActive) do={\r\
\n :log warn "switch to failover";\r\
\n /ip ipsec policy disable \$PrimaryPolicy;\r\
\n /ip ipsec policy enable \$SecondaryPolicy;\r\
\n /ip ipsec peer disable \$PrimaryPeer;\r\
\n /ip ipsec peer enable \$SecondaryPeer;\r\
\n }\r\
\n :if (\$PrimaryOK = 3 && !\$PrimaryActive) do={\r\
\n :log warn "switch to primary";\r\
\n /ip ipsec policy disable \$SecondaryPolicy;\r\
\n /ip ipsec policy enable \$PrimaryPolicy;\r\
\n /ip ipsec peer disable \$SecondaryPeer;\r\
\n /ip ipsec peer enable \$PrimaryPeer;\r\
\n }\r\
\n}" policy=ftp,reboot,read,write,policy,test ,password,sniff,sensitive,romon start-date=\
oct/21/2019 start-time=13:19:32
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add disabled=yes down-script="/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes\r\
\n/ip ipsec policy set [find comment=\BBIPSec_Main\?] disabled=no\r\
\n" host=X4X4X4X4X4X4 interval=5s up-script="/ip ipsec policy set [find comment=\BBIPSec_Main\?]\
\_disabled=no\r\
\n/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes"

Проблема наблюдается между сетями 192.168.5.0/24 и 192.168.2.0/24
Внейшний IP микротик: X5X5X5X5X5X5
Основной внешний IP DFL: X4X4X4X4X4X4
Запасной внешний IP DFL: X2X2X2X2X2X2

@Chay_Nik · 15.02.2020, 12:10

Насколько можно понять, вы поменяли провайдера на удаленном узле (с X4X4X4X4X4X4 на X2X2X2X2X2X2). Проблема может быть с метками на стороне провайдера, вашего или промежуточного, неплохо было бы сделать трассировку с ван до ван по обоим провайдерам для полноты картины.
Насколько я понимаю, в тулзе самого микротика продиагностировать именно по ipsec вряд ли получится, так как нет ключа "указать источник", как есть у утилиты ping, соответственно, с роутера пакеты не попадут в канал. Но попробуйте уменьшить мощность шифрования - хотя бы в целях сужения возможных причин.

@mkat · 15.02.2020, 13:43

вот так с ходу прям в глаза бросается

1) feb/14/2020 12:30:41 by RouterOS 6.44.5
как - то старовата ROS вы бы обновили до лонг-терм 6.45.8 (Long-term) или до стабильной 6.46.3 (Stable)
в старых версиях дыры есть.

2) выключите правило
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
и на форвард то-же если есть точно дроп инвалид тормозит.

3) может есть очереди на dfl ?

4)

Сообщение от Vadim_PV

На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась.

как это повышать ? mtu
может понижать до 1380 и посмотреть, цифра примерная из расчета l2tp+ipsec+pppoe(isp)

5) выкинуть (временно) dfl и поставить микротик для теста и посмотреть скорость на тех же провайдерах.
хоть я и склоняюсь к инвалид и mtu уменьшить ну и ROS и RouterBoard FW обновить.

Добавлено через 1 час 12 минут
сделайте трассировку с разной длинной пакета
измените mtu и еще раз трассировку

@romsan · 15.02.2020, 20:31

Сообщение от mkat

2) выключите правило
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
и на форвард то-же если есть точно дроп инвалид тормозит.

а можно поподробнее про этот совет?

@mkat · 16.02.2020, 07:53

Сообщение от romsan

а можно поподробнее про этот совет?

t.me/miktrain/139634
t.me/miktrain

Добавлено через 4 минуты
Роман Козлов
на вебинаре прямо говорит мешает ivalid

Добавлено через 16 минут
t.me/miktrain/87288
Oleksandr K, [24.11.18 02:54]
но на самом деле, все просто инвалидные пакеты это любые пакеты которые не относятся к уже установленным соединениям с контрака и не являются SYN пакетами для установления этих соединений

Oleksandr K, [24.11.18 02:55]
потому если такие пакеты имеют место быть в сети и они нужны, то это не стоит использовать

@romsan · 16.02.2020, 22:10

ну, возможно. Но всё равно нужно по обстоятельствам смотреть, а не применять поголовно советы бывалых. Вот пока сам не поймешь, вот тогда можно и отключать какие то там правила. Я лично, думаю, что инвалидные пакеты это не что иное как мусор. Правило блокировки их стоит первым в фаерволе.

@mkat · 17.02.2020, 04:20

invalid — пакет от неизвестного соединения

https://habr.com/ru/post/435070/

и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик.
и/или поместить ниже правила с впн/gre https://t.me/MikrotikRus/731137

@NoNaMe · 17.02.2020, 17:32

Сообщение от mkat

и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик.

Так есть регик китайский которые отправляют соединения, и они остаются полуоткрытыми (drop invalid выключен), а вот если включить drop invalid то полуоткрытые соединения закрываются что-бы не забивать канал. Снимать дампы и разюираться глубже в проблеме Я не стал. А дал просто регику возможность оставлять такие соединения. А он зараза копит такие полуоткрытые соединения. Вышел из положения скриптом который раз в день чистит за ним все соединения.

@Vadim_PV · 18.02.2020, 10:13 **[ТС]**

Доброго дня!
Спасибо за ответы!

Ситуация оказалась весьма интересной, и как-бы это сказать "комплексной")))
1-я часть "комплексной" задачи.
Как ранее заметили, в DFL идут два провайдера.
Начал попеременно тестировать скорость внутри канала при провайдере 1, и при провайдере 2.
На обоих провайдерах скорость выхода в Интернет - 80-90 мбит/с.
При активном провайдере 1, скорость внутри тоннеля 200 кб/с. На провайдере 2, скорость 4 мбит/с.
Позвонил в саппорт провайдера 1, описал ситуацию, на что мне сказали, что искать ошибку слишком долго, поэтому заниматься они этим не будут.

2-я часть, заключалась в оборудовании за DFL-ом.
Начал сбоить 10-ти гигабитный коммутатор, в который были подключены все сетевые коммутаторы.
Сбоящий коммутатор исключил из работы.
После этого скорость внутри тоннеля при провайдере 1 - 4 мбит/с, при втором - 7,5 мбит/с.

По итогу, отказываюсь от прова 1 - такой сапорт мне не нужен; закупаю новый коммутатор.
Ну и урок, что зрить надо не только в корень, но и за корень

@Chay_Nik · 18.02.2020, 18:53

Че-то Вы никакой сути не рассказали об архитектуре вашей распределенной сети. Мне, например, непонятно, каким образом "сбоил" коммутатор (в чем это проявлялось, какой модели коммутатор, управляемый/неуправляемый, что с коммутатором пытались сделать до его удаления, заходили ли в его админку, есть ли там петли коммутации, настроены ли вланы, какие функции на портах включены, есть ли в системе транки и т.д. и т.п.). Лично мне пока не приходит в голову, почему в интернет (в роутер) пакеты улетают корректно с коммутатора, а в соседнюю сеть - неправильно, если кто разъяснит ил даст предположения, буду сердечно признателен.
А со стороны DFL вообще нет никакой конфигурации
Инвалидные пакеты из интернета вряд ли имеют отношение к проблеме IPSec, тем более в forwarde-е, а вот в самом канале их можно посмотреть командой /ip ipsec statistics print
Можно также вывести дебаг в лог.
Все традиционно и упорно пишут в микротах выше общего маскарадинга между частными удаленными сетями, хотя он там совсем не нужен, это прекрасно отрабатывается политикой ipsec на in и out в файрвол - нат
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=wan_list

@Vadim_PV · 20.02.2020, 10:14 **[ТС]**

Сообщение от Chay_Nik

Че-то Вы никакой сути не рассказали об архитектуре вашей распределенной сети.

Архитектура простая, две сети объединены средствами VPN IPSec. Ядро одной сети DFL, ядро второй микротик.
За DFL-ом стоял сетевой коммутатор, в этот коммутатор подключались сетевые коммутаторы к которым уже подключались ПК пользователей.

Сообщение от Chay_Nik

Мне, например, непонятно, каким образом "сбоил" коммутатор (в чем это проявлялось, какой модели коммутатор, управляемый/неуправляемый, что с коммутатором пытались сделать до его удаления, заходили ли в его админку, есть ли там петли коммутации, настроены ли вланы, какие функции на портах включены, есть ли в системе транки и т.д. и т.п.).

Коммутатор Netgear ProSafe XS708E, в диагностике неисправностей такого оборудования не силен.
Тестил следующим образом - подключаю Netgear в DFL, далее в Netgear подключаю сетевой коммутатор, в коммутатор подключаю ноут. Ноут вместо DHCP получает адрес типа 169.254.136.40. Соответственно в сетку ноут не смотрит. Убираю из этой цепи Netgear - ноут получает сеть. На этом пока и остановился, коммутатор неуправляемый, максимум что можно это задать ему IP.
Вланы через Netgear не ходили.

Сообщение от Chay_Nik

А со стороны DFL вообще нет никакой конфигурации

Все настроено по интрукциям D-link.

Если бы изначально были такие проблемы т.е. настроил - ничего не работает, тут рыл значительно глубже.
А сейчас, удалив одно сбоящее звено, все работает.

Новые блоги и статьи Все статьи Все блоги /
Облачные приложения на Rust: руководство по архитектуре микросервисов golander 13.07.2025 Когда я впервые взялся за проектирование облачной платформы для одного из наших клиентов, выбор стоял между привычными Go и Java. Но после нескольких месяцев разработки микросервисной системы,. . .	Как Node.js выполняет асинхронные операции Reangularity 13.07.2025 Каждый раз, когда я рассказываю про Node. js, возникает один и тот же вопрос: "Как эта штука может быть быстрой, если JavaScript — однопоточный язык?" И это действительно кажется парадоксом. Ведь в. . .	Как писать чистый, тестируемый и качественный код на Python py-thonny 12.07.2025 Помню свой первый проект на Python. Работал тогда быстро, грязно, лишь бы работало. Код был похож на запутанный клубок - переменные по одной букве, функции на 200 строк, комментарии отсутствовали как. . .	Blazor и контроллер сервопривода IoT Meadow Maple Wired 11.07.2025 Я решил разобраться, как можно соединить современные веб-технологии с миром "железа". Интересная комбинация получилась из Blazor в качестве веб-интерфейса и микроконтроллера Meadow с его веб-сервером. . .	Генерация OpenQASM из кода Q# EggHead 10.07.2025 Летом 2024-го я начал эксперименты с библиотекой Q# Bridge, и знаете что? Она оказалась просто находкой для тех, кто работает на стыке разных квантовых экосистем. Основная фишка этой библиотеки -. . .
Изучаем новый шаблон ИИ-чата .NET AI Chat Web App stackOverflow 10.07.2025 В . NET появилось интересное обновление - новый шаблон ИИ-чата под названием . NET AI Chat Web App. Когда я впервые наткнулся на анонс этого шаблона, то сразу понял, что Microsoft наконец-то. . .	Результаты исследования от команды ARP (июль 2025 г.) Programma_Boinc 10.07.2025 Результаты исследования от команды ARP (июль 2025 г. ) Африканский проект по дождям (ARP) World Community Grid снова запущен! Мы рады поделиться обновленной информацией о нашем прогрессе с осени. . .	Angular vs Svelte - что лучше? Reangularity 09.07.2025 Сегодня рынок разделился на несколько четких категорий: тяжеловесы корпоративного уровня (Angular), гибкие универсалы (React), прогрессивные решения (Vue) и новая волна компилируемых фреймворков. . .	Code First и Database First в Entity Framework UnmanagedCoder 09.07.2025 Entity Framework дает нам свободу выбора, предлагая как Code First, так и Database First подходы. Но эта свобода порождает вечный вопрос — какой подход выбрать? Entity Framework — это. . .	Как использовать Bluetooth-модуль HC-05 с Arduino Wired 08.07.2025 Bluetooth - это технология, созданная чтобы заменить кабельные соединения. Обычно ее используют для связи небольших устройств: мобильных телефонов, ноутбуков, наушников и т. д. Работает она на частоте. . .

@Vadim_PV 3 / 3 / 2 Регистрация: 19.11.2019 Сообщений: 132

	MIKROTIK RB4011iGS+RM (v6.44.5) тормозит IPSec тоннель 14.02.2020, 12:49. Показов 7240. Ответов 10 Метки нет (Все метки) Доброго дня, уважаемые форумчане! 6 месяцев назад, обьединил две сети средствами IPSec. На одной стороне тоннеля DFL-860E на втором конце тоннеля MIKROTIK RB4011iGS+RM Все работало нормально, скорость внутри тоннеля доходила до 6 мб/сек. Некоторое время назад, начал наблюдать падение скорости до 256кб/сек. На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась. Тоннель не падает, а именно тормозит. При переходе на резервного провайдера на DFL-860E, скорость возрастает до 2 мб/сек. внутри тоннеля, но не больше. Провайдеры клянутся, что ничего не меняли. Прошу помощи, в том чтобы разобраться: 1. Какое из устройств "замедляет" канал? Каким ПО можно ловить пакеты между объединенными сетями? Предполагаю, что это поможет понять откуда пакеты уходят, но куда не доходят. 2. Как устранить "тормоза"? Результат выполнения на микротике export hide-sensitivy: Кликните здесь для просмотра всего текста # feb/14/2020 12:30:41 by RouterOS 6.44.5 # software id = ********* # # model = RB4011iGS+ # serial number = *********** /interface bridge add admin-mac=********************* auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] mtu=1592 /interface ethernet switch port set 0 default-vlan-id=0 set 1 default-vlan-id=0 set 2 default-vlan-id=0 set 3 default-vlan-id=0 set 4 default-vlan-id=0 set 5 default-vlan-id=0 set 6 default-vlan-id=0 set 7 default-vlan-id=0 set 8 default-vlan-id=0 set 9 default-vlan-id=0 set 10 default-vlan-id=0 set 11 default-vlan-id=0 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec profile add enc-algorithm=des hash-algorithm=md5 name=dfl-algoritms /ip ipsec peer add address=X1X1X1X!X1X1/32 comment="MS #0" name=peer3 profile=dfl-algoritms add address=X2X2X2X2X2X2/32 comment="AM bacup #1" name=peer2 profile=dfl-algoritms add address=X3X32X3X3X3X3/32 comment="Sklad #2" name=peer4 profile=dfl-algoritms add address=X4X4X4X4X4X4/32 comment="AM main #3" disabled=yes name=peer1 profile=dfl-algoritms /ip ipsec proposal add auth-algorithms=md5 enc-algorithms=des name=dfl-algoritms pfs-group=none /ip pool add name=dhcp ranges=192.168.2.10-192.168.2.99 add name=vpn-pool ranges=192.168.11.2-192.168.11.5 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /ppp profile add change-tcp-mss=yes dns-server=192.168.11.1 local-address=192.168.11.1 name=PPTP-profile \ remote-address=vpn-pool /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether9 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=sfp-sfpplus1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface pptp-server server set default-profile=PPTP-profile /ip address add address=192.168.2.1/24 comment=defconf interface=bridge network=192.168.2.0 add address=X5X5X5X5X5X5/30 interface=ether1 network=X5X5X5X5X5X5-NET /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.2.0/24 comment=defconf dns-server=192.168.5.2,8.8.8.8,89.221.201.11 gateway=\ 192.168.2.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.5.2,8.8.8.8,89.221.201.1 1 /ip dns static add address=192.168.2.1 name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" \ connection-state=established,related,untracked add action=accept chain=input in-interface=all-ppp protocol=ospf add action=accept chain=forward protocol=tcp src-port=445 add action=accept chain=input dst-port=500 protocol=udp src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=ipsec-esp src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=ipsec-ah src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=udp src-address=X4X4X4X4X4X4 add action=accept chain=input dst-port=500 protocol=udp src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=ipsec-esp src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=ipsec-ah src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=udp src-address=X2X2X2X2X2X2 add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\ established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" \ connection-state=established,related,untracked add action=accept chain=input disabled=yes dst-port=1723 in-interface=ether1 protocol=tcp add action=accept chain=input comment="Dostup iz seti 5.0/24 v WEB interface" dst-port=80 protocol=\ tcp src-address=192.168.5.0/24 add action=accept chain=input comment="Dostup iz seti 5.0/24 v Winbox" dst-port=8291 protocol=tcp \ src-address=192.168.5.0/24 add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=accept chain=srcnat dst-address=192.168.5.0/24 src-address=192.168.2.0/24 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \ out-interface-list=WAN /ip ipsec identity add peer=peer1 add peer=peer2 add peer=peer3 add peer=peer4 /ip ipsec policy add comment=IPSec_AM_Main disabled=yes dst-address=192.168.5.0/24 proposal=dfl-algoritms \ sa-dst-address=X4X4X4X4X4X4 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_AM_Backup dst-address=192.168.5.0/24 proposal=dfl-algoritms sa-dst-address=\ X2X2X2X2X2X2 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_MS dst-address=192.168.10.0/24 proposal=dfl-algoritms sa-dst-address=\ X1X1X1X!X1X1 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_Sklad dst-address=192.168.3.0/24 proposal=dfl-algoritms sa-dst-address=\ X3X32X3X3X3X3 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes /ip route add distance=1 gateway=X5X5X5X5X5X5-GW /ip service set telnet disabled=yes set ftp address=192.168.2.0/24,192.168.5.0/24 set www address=192.168.2.0/24,192.168.5.0/24 set ssh address=192.168.2.0/24,192.168.5.0/24 set api disabled=yes set winbox address=192.168.2.0/24,192.168.5.0/24 set api-ssl disabled=yes /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ppp secret add name=PPTP-Ovner profile=PPTP-profile service=pptp /routing ospf network add area=backbone network=192.168.5.0/24 /system clock set time-zone-name=Europe/Moscow /system package update set channel=long-term /system scheduler add interval=5s name=IPSec_failover on-event="{\r\ \n :local PrimaryPolicy 1\r\ \n :local SecondaryPolicy 2\r\ \n :local PrimaryPeer 3\r\ \n :local SecondaryPeer 1 \r\ \n\r\ \n :local PrimaryOK [ing count=3 src-address=192.168.2.1 X4X4X4X4X4X4];\r\ \n :local SecondaryOK [ing count=3 src-address=192.168.2.1 X2X2X2X2X2X2];\r\ \n :local PrimaryActive [/ip ipsec policy get \$PrimaryPolicy active];\r\ \n \r\ \n #:log info "Status: \$PrimaryOK \$SecondaryOK \$PrimaryActive";\r\ \n # Test case: set \$PrimaryOK 0;\r\ \n \r\ \n :if (\$PrimaryOK < 1 && \$SecondaryOK > 1 && \$PrimaryActive) do={\r\ \n :log warn "switch to failover";\r\ \n /ip ipsec policy disable \$PrimaryPolicy;\r\ \n /ip ipsec policy enable \$SecondaryPolicy;\r\ \n /ip ipsec peer disable \$PrimaryPeer;\r\ \n /ip ipsec peer enable \$SecondaryPeer;\r\ \n }\r\ \n :if (\$PrimaryOK = 3 && !\$PrimaryActive) do={\r\ \n :log warn "switch to primary";\r\ \n /ip ipsec policy disable \$SecondaryPolicy;\r\ \n /ip ipsec policy enable \$PrimaryPolicy;\r\ \n /ip ipsec peer disable \$SecondaryPeer;\r\ \n /ip ipsec peer enable \$PrimaryPeer;\r\ \n }\r\ \n}" policy=ftp,reboot,read,write,policy,test ,password,sniff,sensitive,romon start-date=\ oct/21/2019 start-time=13:19:32 /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /tool netwatch add disabled=yes down-script="/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes\r\ \n/ip ipsec policy set [find comment=\BBIPSec_Main\?] disabled=no\r\ \n" host=X4X4X4X4X4X4 interval=5s up-script="/ip ipsec policy set [find comment=\BBIPSec_Main\?]\ \_disabled=no\r\ \n/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes" Проблема наблюдается между сетями 192.168.5.0/24 и 192.168.2.0/24 Внейшний IP микротик: X5X5X5X5X5X5 Основной внешний IP DFL: X4X4X4X4X4X4 Запасной внешний IP DFL: X2X2X2X2X2X2 0

@Chay_Nik 6 / 6 / 1 Регистрация: 16.03.2013 Сообщений: 139
	15.02.2020, 12:10
	Насколько можно понять, вы поменяли провайдера на удаленном узле (с X4X4X4X4X4X4 на X2X2X2X2X2X2). Проблема может быть с метками на стороне провайдера, вашего или промежуточного, неплохо было бы сделать трассировку с ван до ван по обоим провайдерам для полноты картины. Насколько я понимаю, в тулзе самого микротика продиагностировать именно по ipsec вряд ли получится, так как нет ключа "указать источник", как есть у утилиты ping, соответственно, с роутера пакеты не попадут в канал. Но попробуйте уменьшить мощность шифрования - хотя бы в целях сужения возможных причин. 0

@romsan 5603 / 2214 / 473 Регистрация: 17.10.2015 Сообщений: 9,396
	16.02.2020, 22:10
	ну, возможно. Но всё равно нужно по обстоятельствам смотреть, а не применять поголовно советы бывалых. Вот пока сам не поймешь, вот тогда можно и отключать какие то там правила. Я лично, думаю, что инвалидные пакеты это не что иное как мусор. Правило блокировки их стоит первым в фаерволе. 0

@mkat 85 / 28 / 4 Регистрация: 07.07.2019 Сообщений: 99
	17.02.2020, 04:20
	invalid — пакет от неизвестного соединения https://habr.com/ru/post/435070/ и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик. и/или поместить ниже правила с впн/gre https://t.me/MikrotikRus/731137 1

@Vadim_PV 3 / 3 / 2 Регистрация: 19.11.2019 Сообщений: 132
	18.02.2020, 10:13 [ТС]
	Доброго дня! Спасибо за ответы! Ситуация оказалась весьма интересной, и как-бы это сказать "комплексной"))) 1-я часть "комплексной" задачи. Как ранее заметили, в DFL идут два провайдера. Начал попеременно тестировать скорость внутри канала при провайдере 1, и при провайдере 2. На обоих провайдерах скорость выхода в Интернет - 80-90 мбит/с. При активном провайдере 1, скорость внутри тоннеля 200 кб/с. На провайдере 2, скорость 4 мбит/с. Позвонил в саппорт провайдера 1, описал ситуацию, на что мне сказали, что искать ошибку слишком долго, поэтому заниматься они этим не будут. 2-я часть, заключалась в оборудовании за DFL-ом. Начал сбоить 10-ти гигабитный коммутатор, в который были подключены все сетевые коммутаторы. Сбоящий коммутатор исключил из работы. После этого скорость внутри тоннеля при провайдере 1 - 4 мбит/с, при втором - 7,5 мбит/с. По итогу, отказываюсь от прова 1 - такой сапорт мне не нужен; закупаю новый коммутатор. Ну и урок, что зрить надо не только в корень, но и за корень 1

@Chay_Nik 6 / 6 / 1 Регистрация: 16.03.2013 Сообщений: 139
	18.02.2020, 18:53
	Че-то Вы никакой сути не рассказали об архитектуре вашей распределенной сети. Мне, например, непонятно, каким образом "сбоил" коммутатор (в чем это проявлялось, какой модели коммутатор, управляемый/неуправляемый, что с коммутатором пытались сделать до его удаления, заходили ли в его админку, есть ли там петли коммутации, настроены ли вланы, какие функции на портах включены, есть ли в системе транки и т.д. и т.п.). Лично мне пока не приходит в голову, почему в интернет (в роутер) пакеты улетают корректно с коммутатора, а в соседнюю сеть - неправильно, если кто разъяснит ил даст предположения, буду сердечно признателен. А со стороны DFL вообще нет никакой конфигурации Инвалидные пакеты из интернета вряд ли имеют отношение к проблеме IPSec, тем более в forwarde-е, а вот в самом канале их можно посмотреть командой /ip ipsec statistics print Можно также вывести дебаг в лог. Все традиционно и упорно пишут в микротах выше общего маскарадинга между частными удаленными сетями, хотя он там совсем не нужен, это прекрасно отрабатывается политикой ipsec на in и out в файрвол - нат add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=wan_list 1

Опции темы