Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
 
Vadim_PV
1 / 1 / 1
Регистрация: 19.11.2019
Сообщений: 26
1

MIKROTIK RB4011iGS+RM (v6.44.5) тормозит IPSec тоннель

14.02.2020, 12:49. Просмотров 218. Ответов 9
Метки нет (Все метки)

Доброго дня, уважаемые форумчане!

6 месяцев назад, обьединил две сети средствами IPSec.
На одной стороне тоннеля DFL-860E на втором конце тоннеля MIKROTIK RB4011iGS+RM
Все работало нормально, скорость внутри тоннеля доходила до 6 мб/сек.

Некоторое время назад, начал наблюдать падение скорости до 256кб/сек.
На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась.
Тоннель не падает, а именно тормозит.
При переходе на резервного провайдера на DFL-860E, скорость возрастает до 2 мб/сек. внутри тоннеля, но не больше.
Провайдеры клянутся, что ничего не меняли.

Прошу помощи, в том чтобы разобраться:
1. Какое из устройств "замедляет" канал? Каким ПО можно ловить пакеты между объединенными сетями? Предполагаю, что это поможет понять откуда пакеты уходят, но куда не доходят.
2. Как устранить "тормоза"?

Результат выполнения на микротике export hide-sensitivy:
Кликните здесь для просмотра всего текста
# feb/14/2020 12:30:41 by RouterOS 6.44.5
# software id = ***********
#
# model = RB4011iGS+
# serial number = ***************
/interface bridge
add admin-mac=*********************** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mtu=1592
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add enc-algorithm=des hash-algorithm=md5 name=dfl-algoritms
/ip ipsec peer
add address=X1X1X1X!X1X1/32 comment="MS #0" name=peer3 profile=dfl-algoritms
add address=X2X2X2X2X2X2/32 comment="AM bacup #1" name=peer2 profile=dfl-algoritms
add address=X3X32X3X3X3X3/32 comment="Sklad #2" name=peer4 profile=dfl-algoritms
add address=X4X4X4X4X4X4/32 comment="AM main #3" disabled=yes name=peer1 profile=dfl-algoritms
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=des name=dfl-algoritms pfs-group=none
/ip pool
add name=dhcp ranges=192.168.2.10-192.168.2.99
add name=vpn-pool ranges=192.168.11.2-192.168.11.5
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes dns-server=192.168.11.1 local-address=192.168.11.1 name=PPTP-profile \
remote-address=vpn-pool
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set default-profile=PPTP-profile
/ip address
add address=192.168.2.1/24 comment=defconf interface=bridge network=192.168.2.0
add address=X5X5X5X5X5X5/30 interface=ether1 network=X5X5X5X5X5X5-NET
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf dns-server=192.168.5.2,8.8.8.8,89.221.201.11 gateway=\
192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.5.2,8.8.8.8,89.221.201.11
/ip dns static
add address=192.168.2.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
connection-state=established,related,untracked
add action=accept chain=input in-interface=all-ppp protocol=ospf
add action=accept chain=forward protocol=tcp src-port=445
add action=accept chain=input dst-port=500 protocol=udp src-address=X4X4X4X4X4X4
add action=accept chain=input protocol=ipsec-esp src-address=X4X4X4X4X4X4
add action=accept chain=input protocol=ipsec-ah src-address=X4X4X4X4X4X4
add action=accept chain=input protocol=udp src-address=X4X4X4X4X4X4
add action=accept chain=input dst-port=500 protocol=udp src-address=X2X2X2X2X2X2
add action=accept chain=input protocol=ipsec-esp src-address=X2X2X2X2X2X2
add action=accept chain=input protocol=ipsec-ah src-address=X2X2X2X2X2X2
add action=accept chain=input protocol=udp src-address=X2X2X2X2X2X2
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
connection-state=established,related,untracked
add action=accept chain=input disabled=yes dst-port=1723 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="Dostup iz seti 5.0/24 v WEB interface" dst-port=80 protocol=\
tcp src-address=192.168.5.0/24
add action=accept chain=input comment="Dostup iz seti 5.0/24 v Winbox" dst-port=8291 protocol=tcp \
src-address=192.168.5.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
out-interface-list=WAN
/ip ipsec identity
add peer=peer1
add peer=peer2
add peer=peer3
add peer=peer4
/ip ipsec policy
add comment=IPSec_AM_Main disabled=yes dst-address=192.168.5.0/24 proposal=dfl-algoritms \
sa-dst-address=X4X4X4X4X4X4 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
add comment=IPSec_AM_Backup dst-address=192.168.5.0/24 proposal=dfl-algoritms sa-dst-address=\
X2X2X2X2X2X2 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
add comment=IPSec_MS dst-address=192.168.10.0/24 proposal=dfl-algoritms sa-dst-address=\
X1X1X1X!X1X1 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
add comment=IPSec_Sklad dst-address=192.168.3.0/24 proposal=dfl-algoritms sa-dst-address=\
X3X32X3X3X3X3 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes
/ip route
add distance=1 gateway=X5X5X5X5X5X5-GW
/ip service
set telnet disabled=yes
set ftp address=192.168.2.0/24,192.168.5.0/24
set www address=192.168.2.0/24,192.168.5.0/24
set ssh address=192.168.2.0/24,192.168.5.0/24
set api disabled=yes
set winbox address=192.168.2.0/24,192.168.5.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=PPTP-Ovner profile=PPTP-profile service=pptp
/routing ospf network
add area=backbone network=192.168.5.0/24
/system clock
set time-zone-name=Europe/Moscow
/system package update
set channel=long-term
/system scheduler
add interval=5s name=IPSec_failover on-event="{\r\
\n :local PrimaryPolicy 1\r\
\n :local SecondaryPolicy 2\r\
\n :local PrimaryPeer 3\r\
\n :local SecondaryPeer 1 \r\
\n\r\
\n :local PrimaryOK [ing count=3 src-address=192.168.2.1 X4X4X4X4X4X4];\r\
\n :local SecondaryOK [ing count=3 src-address=192.168.2.1 X2X2X2X2X2X2];\r\
\n :local PrimaryActive [/ip ipsec policy get \$PrimaryPolicy active];\r\
\n \r\
\n #:log info "Status: \$PrimaryOK \$SecondaryOK \$PrimaryActive";\r\
\n # Test case: set \$PrimaryOK 0;\r\
\n \r\
\n :if (\$PrimaryOK < 1 && \$SecondaryOK > 1 && \$PrimaryActive) do={\r\
\n :log warn "switch to failover";\r\
\n /ip ipsec policy disable \$PrimaryPolicy;\r\
\n /ip ipsec policy enable \$SecondaryPolicy;\r\
\n /ip ipsec peer disable \$PrimaryPeer;\r\
\n /ip ipsec peer enable \$SecondaryPeer;\r\
\n }\r\
\n :if (\$PrimaryOK = 3 && !\$PrimaryActive) do={\r\
\n :log warn "switch to primary";\r\
\n /ip ipsec policy disable \$SecondaryPolicy;\r\
\n /ip ipsec policy enable \$PrimaryPolicy;\r\
\n /ip ipsec peer disable \$SecondaryPeer;\r\
\n /ip ipsec peer enable \$PrimaryPeer;\r\
\n }\r\
\n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=\
oct/21/2019 start-time=13:19:32
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add disabled=yes down-script="/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes\r\
\n/ip ipsec policy set [find comment=\BBIPSec_Main\?] disabled=no\r\
\n" host=X4X4X4X4X4X4 interval=5s up-script="/ip ipsec policy set [find comment=\BBIPSec_Main\?]\
\_disabled=no\r\
\n/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes"


Проблема наблюдается между сетями 192.168.5.0/24 и 192.168.2.0/24
Внейшний IP микротик: X5X5X5X5X5X5
Основной внешний IP DFL: X4X4X4X4X4X4
Запасной внешний IP DFL: X2X2X2X2X2X2
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
14.02.2020, 12:49
Ответы с готовыми решениями:

IPsec тоннель на 2ух mikrotik
Прошу помощи, есть цель настроить IPsec тоннель между двумя mikrotik, пока что в тестовом режиме....

IPSEC тоннель
Есть 2 железки RB951. 2 Локалки: 192.168.1.0/24 - сеть 1 192.168.3.0/24 - сеть 2...

MIKROTIK RB4011iGS+RM (v6.44.5) при подключении по PPTP не видина сеть за роутером
Доброго дня уважаемые форумчане! Образован IPSec канал от DFL-860E к MIKROTIK RB4011iGS+RM....

Настройка IPSec на Mikrotik
Всем привет вопрос следующий необходимо настроить IPSec с микротика на микротик. на белых ip все...

Mikrotik ipsec vpn
Здравствуйте! В общем впн поднялась, что меня радует. Но не тут то было, проблема не могу...

9
Chay_Nik
5 / 5 / 1
Регистрация: 16.03.2013
Сообщений: 95
15.02.2020, 12:10 2
Насколько можно понять, вы поменяли провайдера на удаленном узле (с X4X4X4X4X4X4 на X2X2X2X2X2X2). Проблема может быть с метками на стороне провайдера, вашего или промежуточного, неплохо было бы сделать трассировку с ван до ван по обоим провайдерам для полноты картины.
Насколько я понимаю, в тулзе самого микротика продиагностировать именно по ipsec вряд ли получится, так как нет ключа "указать источник", как есть у утилиты ping, соответственно, с роутера пакеты не попадут в канал. Но попробуйте уменьшить мощность шифрования - хотя бы в целях сужения возможных причин.
0
mkat
9 / 8 / 1
Регистрация: 07.07.2019
Сообщений: 33
15.02.2020, 13:43 3
вот так с ходу прям в глаза бросается

1) feb/14/2020 12:30:41 by RouterOS 6.44.5
как - то старовата ROS вы бы обновили до лонг-терм 6.45.8 (Long-term) или до стабильной 6.46.3 (Stable)
в старых версиях дыры есть.

2) выключите правило
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
и на форвард то-же если есть точно дроп инвалид тормозит.

3) может есть очереди на dfl ?

4)
Цитата Сообщение от Vadim_PV Посмотреть сообщение
На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась.
как это повышать ? mtu
может понижать до 1380 и посмотреть, цифра примерная из расчета l2tp+ipsec+pppoe(isp)

5) выкинуть (временно) dfl и поставить микротик для теста и посмотреть скорость на тех же провайдерах.
хоть я и склоняюсь к инвалид и mtu уменьшить ну и ROS и RouterBoard FW обновить.

Добавлено через 1 час 12 минут
сделайте трассировку с разной длинной пакета
измените mtu и еще раз трассировку
0
romsan
Эксперт по компьютерным сетям
2752 / 1492 / 315
Регистрация: 17.10.2015
Сообщений: 6,502
15.02.2020, 20:31 4
Цитата Сообщение от mkat Посмотреть сообщение
2) выключите правило
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
и на форвард то-же если есть точно дроп инвалид тормозит.
а можно поподробнее про этот совет?
0
15.02.2020, 20:31
mkat
9 / 8 / 1
Регистрация: 07.07.2019
Сообщений: 33
16.02.2020, 07:53 5
Цитата Сообщение от romsan Посмотреть сообщение
а можно поподробнее про этот совет?
t.me/miktrain/139634
t.me/miktrain

Добавлено через 4 минуты
Роман Козлов
на вебинаре прямо говорит мешает ivalid

Добавлено через 16 минут
t.me/miktrain/87288
Oleksandr K, [24.11.18 02:54]
но на самом деле, все просто инвалидные пакеты это любые пакеты которые не относятся к уже установленным соединениям с контрака и не являются SYN пакетами для установления этих соединений

Oleksandr K, [24.11.18 02:55]
потому если такие пакеты имеют место быть в сети и они нужны, то это не стоит использовать
0
romsan
Эксперт по компьютерным сетям
2752 / 1492 / 315
Регистрация: 17.10.2015
Сообщений: 6,502
16.02.2020, 22:10 6
ну, возможно. Но всё равно нужно по обстоятельствам смотреть, а не применять поголовно советы бывалых. Вот пока сам не поймешь, вот тогда можно и отключать какие то там правила. Я лично, думаю, что инвалидные пакеты это не что иное как мусор. Правило блокировки их стоит первым в фаерволе.
0
mkat
9 / 8 / 1
Регистрация: 07.07.2019
Сообщений: 33
17.02.2020, 04:20 7
invalid — пакет от неизвестного соединения

https://habr.com/ru/post/435070/

и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик.
и/или поместить ниже правила с впн/gre https://t.me/MikrotikRus/731137
1
NoNaMe
Модератор
Эксперт по компьютерным сетям
1052 / 457 / 83
Регистрация: 10.06.2009
Сообщений: 1,937
Завершенные тесты: 1
17.02.2020, 17:32 8
Цитата Сообщение от mkat Посмотреть сообщение
и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик.
Так есть регик китайский которые отправляют соединения, и они остаются полуоткрытыми (drop invalid выключен), а вот если включить drop invalid то полуоткрытые соединения закрываются что-бы не забивать канал. Снимать дампы и разюираться глубже в проблеме Я не стал. А дал просто регику возможность оставлять такие соединения. А он зараза копит такие полуоткрытые соединения. Вышел из положения скриптом который раз в день чистит за ним все соединения.
0
Vadim_PV
1 / 1 / 1
Регистрация: 19.11.2019
Сообщений: 26
Вчера, 10:13  [ТС] 9
Доброго дня!
Спасибо за ответы!

Ситуация оказалась весьма интересной, и как-бы это сказать "комплексной")))
1-я часть "комплексной" задачи.
Как ранее заметили, в DFL идут два провайдера.
Начал попеременно тестировать скорость внутри канала при провайдере 1, и при провайдере 2.
На обоих провайдерах скорость выхода в Интернет - 80-90 мбит/с.
При активном провайдере 1, скорость внутри тоннеля 200 кб/с. На провайдере 2, скорость 4 мбит/с.
Позвонил в саппорт провайдера 1, описал ситуацию, на что мне сказали, что искать ошибку слишком долго, поэтому заниматься они этим не будут.

2-я часть, заключалась в оборудовании за DFL-ом.
Начал сбоить 10-ти гигабитный коммутатор, в который были подключены все сетевые коммутаторы.
Сбоящий коммутатор исключил из работы.
После этого скорость внутри тоннеля при провайдере 1 - 4 мбит/с, при втором - 7,5 мбит/с.

По итогу, отказываюсь от прова 1 - такой сапорт мне не нужен; закупаю новый коммутатор.
Ну и урок, что зрить надо не только в корень, но и за корень
1
Chay_Nik
5 / 5 / 1
Регистрация: 16.03.2013
Сообщений: 95
Вчера, 18:53 10
Че-то Вы никакой сути не рассказали об архитектуре вашей распределенной сети. Мне, например, непонятно, каким образом "сбоил" коммутатор (в чем это проявлялось, какой модели коммутатор, управляемый/неуправляемый, что с коммутатором пытались сделать до его удаления, заходили ли в его админку, есть ли там петли коммутации, настроены ли вланы, какие функции на портах включены, есть ли в системе транки и т.д. и т.п.). Лично мне пока не приходит в голову, почему в интернет (в роутер) пакеты улетают корректно с коммутатора, а в соседнюю сеть - неправильно, если кто разъяснит ил даст предположения, буду сердечно признателен.
А со стороны DFL вообще нет никакой конфигурации
Инвалидные пакеты из интернета вряд ли имеют отношение к проблеме IPSec, тем более в forwarde-е, а вот в самом канале их можно посмотреть командой /ip ipsec statistics print
Можно также вывести дебаг в лог.
Все традиционно и упорно пишут в микротах выше общего маскарадинга между частными удаленными сетями, хотя он там совсем не нужен, это прекрасно отрабатывается политикой ipsec на in и out в файрвол - нат
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=wan_list
0
Вчера, 18:53
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
Вчера, 18:53

IPsec туннель Mikrotik и PFSense
Никак не получается сконнектить PFSense 2.4.4 И Mikrotik 6.45.1 Все настроено аналогично, однако...

Подружить pfSense и Mikrotik по IPsec
Доброго всем! Пытаюсь создать действующий туннель. Сейчас есть работающий ipsec между двумя...

IPSec VPN между Mikrotik и Cisco
Есть ЦО где стоит циска, есть офис где микротик. У офиса провайдер так себе поэтому канал...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.