|
Vadim_PV
1 / 1 / 1
Регистрация: 19.11.2019
Сообщений: 26
|
|
| 1 | |
MIKROTIK RB4011iGS+RM (v6.44.5) тормозит IPSec тоннель14.02.2020, 12:49. Просмотров 218. Ответов 9
Метки нет (Все метки)
Доброго дня, уважаемые форумчане!
6 месяцев назад, обьединил две сети средствами IPSec. На одной стороне тоннеля DFL-860E на втором конце тоннеля MIKROTIK RB4011iGS+RM Все работало нормально, скорость внутри тоннеля доходила до 6 мб/сек. Некоторое время назад, начал наблюдать падение скорости до 256кб/сек. На тоннелях в DFL прописаны стандартные значения MTU 1420, пробовал увеличивать ситуация не изменилась. Тоннель не падает, а именно тормозит. При переходе на резервного провайдера на DFL-860E, скорость возрастает до 2 мб/сек. внутри тоннеля, но не больше. Провайдеры клянутся, что ничего не меняли. Прошу помощи, в том чтобы разобраться: 1. Какое из устройств "замедляет" канал? Каким ПО можно ловить пакеты между объединенными сетями? Предполагаю, что это поможет понять откуда пакеты уходят, но куда не доходят. 2. Как устранить "тормоза"? Результат выполнения на микротике export hide-sensitivy: Кликните здесь для просмотра всего текста
# feb/14/2020 12:30:41 by RouterOS 6.44.5
# software id = *********** # # model = RB4011iGS+ # serial number = *************** /interface bridge add admin-mac=*********************** auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] mtu=1592 /interface ethernet switch port set 0 default-vlan-id=0 set 1 default-vlan-id=0 set 2 default-vlan-id=0 set 3 default-vlan-id=0 set 4 default-vlan-id=0 set 5 default-vlan-id=0 set 6 default-vlan-id=0 set 7 default-vlan-id=0 set 8 default-vlan-id=0 set 9 default-vlan-id=0 set 10 default-vlan-id=0 set 11 default-vlan-id=0 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec profile add enc-algorithm=des hash-algorithm=md5 name=dfl-algoritms /ip ipsec peer add address=X1X1X1X!X1X1/32 comment="MS #0" name=peer3 profile=dfl-algoritms add address=X2X2X2X2X2X2/32 comment="AM bacup #1" name=peer2 profile=dfl-algoritms add address=X3X32X3X3X3X3/32 comment="Sklad #2" name=peer4 profile=dfl-algoritms add address=X4X4X4X4X4X4/32 comment="AM main #3" disabled=yes name=peer1 profile=dfl-algoritms /ip ipsec proposal add auth-algorithms=md5 enc-algorithms=des name=dfl-algoritms pfs-group=none /ip pool add name=dhcp ranges=192.168.2.10-192.168.2.99 add name=vpn-pool ranges=192.168.11.2-192.168.11.5 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /ppp profile add change-tcp-mss=yes dns-server=192.168.11.1 local-address=192.168.11.1 name=PPTP-profile \ remote-address=vpn-pool /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether9 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=sfp-sfpplus1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface pptp-server server set default-profile=PPTP-profile /ip address add address=192.168.2.1/24 comment=defconf interface=bridge network=192.168.2.0 add address=X5X5X5X5X5X5/30 interface=ether1 network=X5X5X5X5X5X5-NET /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.2.0/24 comment=defconf dns-server=192.168.5.2,8.8.8.8,89.221.201.11 gateway=\ 192.168.2.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.5.2,8.8.8.8,89.221.201.11 /ip dns static add address=192.168.2.1 name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" \ connection-state=established,related,untracked add action=accept chain=input in-interface=all-ppp protocol=ospf add action=accept chain=forward protocol=tcp src-port=445 add action=accept chain=input dst-port=500 protocol=udp src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=ipsec-esp src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=ipsec-ah src-address=X4X4X4X4X4X4 add action=accept chain=input protocol=udp src-address=X4X4X4X4X4X4 add action=accept chain=input dst-port=500 protocol=udp src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=ipsec-esp src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=ipsec-ah src-address=X2X2X2X2X2X2 add action=accept chain=input protocol=udp src-address=X2X2X2X2X2X2 add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\ established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" \ connection-state=established,related,untracked add action=accept chain=input disabled=yes dst-port=1723 in-interface=ether1 protocol=tcp add action=accept chain=input comment="Dostup iz seti 5.0/24 v WEB interface" dst-port=80 protocol=\ tcp src-address=192.168.5.0/24 add action=accept chain=input comment="Dostup iz seti 5.0/24 v Winbox" dst-port=8291 protocol=tcp \ src-address=192.168.5.0/24 add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=accept chain=srcnat dst-address=192.168.5.0/24 src-address=192.168.2.0/24 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \ out-interface-list=WAN /ip ipsec identity add peer=peer1 add peer=peer2 add peer=peer3 add peer=peer4 /ip ipsec policy add comment=IPSec_AM_Main disabled=yes dst-address=192.168.5.0/24 proposal=dfl-algoritms \ sa-dst-address=X4X4X4X4X4X4 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_AM_Backup dst-address=192.168.5.0/24 proposal=dfl-algoritms sa-dst-address=\ X2X2X2X2X2X2 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_MS dst-address=192.168.10.0/24 proposal=dfl-algoritms sa-dst-address=\ X1X1X1X!X1X1 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes add comment=IPSec_Sklad dst-address=192.168.3.0/24 proposal=dfl-algoritms sa-dst-address=\ X3X32X3X3X3X3 sa-src-address=X5X5X5X5X5X5 src-address=192.168.2.0/24 tunnel=yes /ip route add distance=1 gateway=X5X5X5X5X5X5-GW /ip service set telnet disabled=yes set ftp address=192.168.2.0/24,192.168.5.0/24 set www address=192.168.2.0/24,192.168.5.0/24 set ssh address=192.168.2.0/24,192.168.5.0/24 set api disabled=yes set winbox address=192.168.2.0/24,192.168.5.0/24 set api-ssl disabled=yes /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ppp secret add name=PPTP-Ovner profile=PPTP-profile service=pptp /routing ospf network add area=backbone network=192.168.5.0/24 /system clock set time-zone-name=Europe/Moscow /system package update set channel=long-term /system scheduler add interval=5s name=IPSec_failover on-event="{\r\ \n :local PrimaryPolicy 1\r\ \n :local SecondaryPolicy 2\r\ \n :local PrimaryPeer 3\r\ \n :local SecondaryPeer 1 \r\ \n\r\ \n :local PrimaryOK [  ing count=3 src-address=192.168.2.1 X4X4X4X4X4X4];\r\\n :local SecondaryOK [ ing count=3 src-address=192.168.2.1 X2X2X2X2X2X2];\r\\n :local PrimaryActive [/ip ipsec policy get \$PrimaryPolicy active];\r\ \n \r\ \n #:log info "Status: \$PrimaryOK \$SecondaryOK \$PrimaryActive";\r\ \n # Test case: set \$PrimaryOK 0;\r\ \n \r\ \n :if (\$PrimaryOK < 1 && \$SecondaryOK > 1 && \$PrimaryActive) do={\r\ \n :log warn "switch to failover";\r\ \n /ip ipsec policy disable \$PrimaryPolicy;\r\ \n /ip ipsec policy enable \$SecondaryPolicy;\r\ \n /ip ipsec peer disable \$PrimaryPeer;\r\ \n /ip ipsec peer enable \$SecondaryPeer;\r\ \n }\r\ \n :if (\$PrimaryOK = 3 && !\$PrimaryActive) do={\r\ \n :log warn "switch to primary";\r\ \n /ip ipsec policy disable \$SecondaryPolicy;\r\ \n /ip ipsec policy enable \$PrimaryPolicy;\r\ \n /ip ipsec peer disable \$SecondaryPeer;\r\ \n /ip ipsec peer enable \$PrimaryPeer;\r\ \n }\r\ \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=\ oct/21/2019 start-time=13:19:32 /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /tool netwatch add disabled=yes down-script="/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes\r\ \n/ip ipsec policy set [find comment=\BBIPSec_Main\?] disabled=no\r\ \n" host=X4X4X4X4X4X4 interval=5s up-script="/ip ipsec policy set [find comment=\BBIPSec_Main\?]\ \_disabled=no\r\ \n/ip ipsec policy set [find comment=\BBIPSec_Backup\?] disabled=yes" Проблема наблюдается между сетями 192.168.5.0/24 и 192.168.2.0/24 Внейшний IP микротик: X5X5X5X5X5X5 Основной внешний IP DFL: X4X4X4X4X4X4 Запасной внешний IP DFL: X2X2X2X2X2X2
0
|
|
(|
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
|
14.02.2020, 12:49 |
|
Ответы с готовыми решениями:
9
IPSEC тоннель
Настройка IPSec на Mikrotik Mikrotik ipsec vpn |
|
Chay_Nik
5 / 5 / 1
Регистрация: 16.03.2013
Сообщений: 95
|
|
| 15.02.2020, 12:10 | 2 |
|
Насколько можно понять, вы поменяли провайдера на удаленном узле (с X4X4X4X4X4X4 на X2X2X2X2X2X2). Проблема может быть с метками на стороне провайдера, вашего или промежуточного, неплохо было бы сделать трассировку с ван до ван по обоим провайдерам для полноты картины.
Насколько я понимаю, в тулзе самого микротика продиагностировать именно по ipsec вряд ли получится, так как нет ключа "указать источник", как есть у утилиты ping, соответственно, с роутера пакеты не попадут в канал. Но попробуйте уменьшить мощность шифрования - хотя бы в целях сужения возможных причин.
0
|
|
|
mkat
9 / 8 / 1
Регистрация: 07.07.2019
Сообщений: 33
|
|
| 15.02.2020, 13:43 | 3 |
|
вот так с ходу прям в глаза бросается
1) feb/14/2020 12:30:41 by RouterOS 6.44.5 как - то старовата ROS вы бы обновили до лонг-терм 6.45.8 (Long-term) или до стабильной 6.46.3 (Stable) в старых версиях дыры есть. 2) выключите правило add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid и на форвард то-же если есть точно дроп инвалид тормозит. 3) может есть очереди на dfl ? 4) 
Сообщение от Vadim_PV
может понижать до 1380 и посмотреть, цифра примерная из расчета l2tp+ipsec+pppoe(isp) 5) выкинуть (временно) dfl и поставить микротик для теста и посмотреть скорость на тех же провайдерах. хоть я и склоняюсь к инвалид и mtu уменьшить ну и ROS и RouterBoard FW обновить. Добавлено через 1 час 12 минут сделайте трассировку с разной длинной пакета измените mtu и еще раз трассировку
0
|
|
|
romsan
 2752 / 1492 / 315
Регистрация: 17.10.2015
Сообщений: 6,502
|
|
| 15.02.2020, 20:31 | 4 |
|
Сообщение от mkat
0
|
|
| 15.02.2020, 20:31 | |
|
mkat
9 / 8 / 1
Регистрация: 07.07.2019
Сообщений: 33
|
|
| 16.02.2020, 07:53 | 5 |
|
Сообщение от romsan
t.me/miktrain Добавлено через 4 минуты Роман Козлов на вебинаре прямо говорит мешает ivalid Добавлено через 16 минут t.me/miktrain/87288 Oleksandr K, [24.11.18 02:54] но на самом деле, все просто инвалидные пакеты это любые пакеты которые не относятся к уже установленным соединениям с контрака и не являются SYN пакетами для установления этих соединений Oleksandr K, [24.11.18 02:55] потому если такие пакеты имеют место быть в сети и они нужны, то это не стоит использовать
0
|
|
|
romsan
2752 / 1492 / 315
Регистрация: 17.10.2015
Сообщений: 6,502
|
|
| 16.02.2020, 22:10 | 6 |
|
ну, возможно. Но всё равно нужно по обстоятельствам смотреть, а не применять поголовно советы бывалых. Вот пока сам не поймешь, вот тогда можно и отключать какие то там правила. Я лично, думаю, что инвалидные пакеты это не что иное как мусор. Правило блокировки их стоит первым в фаерволе.
0
|
|
|
mkat
9 / 8 / 1
Регистрация: 07.07.2019
Сообщений: 33
|
|
| 17.02.2020, 04:20 | 7 |
|
invalid — пакет от неизвестного соединения
https://habr.com/ru/post/435070/ и я предлагаю выкючить временно , на посмотреть, как поведет себя трафик. и/или поместить ниже правила с впн/gre https://t.me/MikrotikRus/731137
1
|
|
|
NoNaMe
Модератор
|
|
| 17.02.2020, 17:32 | 8 |
|
Сообщение от mkat
0
|
|
|
Vadim_PV
1 / 1 / 1
Регистрация: 19.11.2019
Сообщений: 26
|
|
| Вчера, 10:13 [ТС] | 9 |
|
Доброго дня!
Спасибо за ответы! Ситуация оказалась весьма интересной, и как-бы это сказать "комплексной"))) 1-я часть "комплексной" задачи. Как ранее заметили, в DFL идут два провайдера. Начал попеременно тестировать скорость внутри канала при провайдере 1, и при провайдере 2. На обоих провайдерах скорость выхода в Интернет - 80-90 мбит/с. При активном провайдере 1, скорость внутри тоннеля 200 кб/с. На провайдере 2, скорость 4 мбит/с. Позвонил в саппорт провайдера 1, описал ситуацию, на что мне сказали, что искать ошибку слишком долго, поэтому заниматься они этим не будут. 2-я часть, заключалась в оборудовании за DFL-ом. Начал сбоить 10-ти гигабитный коммутатор, в который были подключены все сетевые коммутаторы. Сбоящий коммутатор исключил из работы. После этого скорость внутри тоннеля при провайдере 1 - 4 мбит/с, при втором - 7,5 мбит/с. По итогу, отказываюсь от прова 1 - такой сапорт мне не нужен; закупаю новый коммутатор. Ну и урок, что зрить надо не только в корень, но и за корень 
1
|
|
|
Chay_Nik
5 / 5 / 1
Регистрация: 16.03.2013
Сообщений: 95
|
|
| Вчера, 18:53 | 10 |
|
Че-то Вы никакой сути не рассказали об архитектуре вашей распределенной сети. Мне, например, непонятно, каким образом "сбоил" коммутатор (в чем это проявлялось, какой модели коммутатор, управляемый/неуправляемый, что с коммутатором пытались сделать до его удаления, заходили ли в его админку, есть ли там петли коммутации, настроены ли вланы, какие функции на портах включены, есть ли в системе транки и т.д. и т.п.). Лично мне пока не приходит в голову, почему в интернет (в роутер) пакеты улетают корректно с коммутатора, а в соседнюю сеть - неправильно, если кто разъяснит ил даст предположения, буду сердечно признателен.
А со стороны DFL вообще нет никакой конфигурации Инвалидные пакеты из интернета вряд ли имеют отношение к проблеме IPSec, тем более в forwarde-е, а вот в самом канале их можно посмотреть командой /ip ipsec statistics print Можно также вывести дебаг в лог. Все традиционно и упорно пишут в микротах выше общего маскарадинга между частными удаленными сетями, хотя он там совсем не нужен, это прекрасно отрабатывается политикой ipsec на in и out в файрвол - нат add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=wan_list
0
|
|
| Вчера, 18:53 | |
|
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
|
Вчера, 18:53 |
|
IPsec туннель Mikrotik и PFSense Подружить pfSense и Mikrotik по IPsec IPSec VPN между Mikrotik и Cisco Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
Наверх