поставил багфикс версию 6.39.3, но с начала проблемы я много раз его обновлял, это не помогало, меня больше интересует, как понять причину этого

делать саппорт риф и отправлять в ТП микрота, письмо можно писать на русском

дебага как такового нету, и выявить закономерность...

Народ, ай нид хелп, уже мозг сломал. На CCR приходят 2 прова, оба раздают инет по PPPOE. Настроено 3 подсети, одна идёт в нет через первого провайдера, вторая и третья с помощью mark routing в mangle и 2х правил в ip\routes рулят в инет через второго провайдера. Далее стоит задача поднять l2tp+ipsec, чтобы клиенты видели первую подсеть и ходили в интернет через vpn. Поднял сервер l2tp+ipsec, начал настраивать клиента, клиент первую подсеть видит, но у него отваливается инет после подключения. Перерыл уже всё, что помню, голова уже кипит. Трассировка с клиента показывает ответы до vpn ip роутера, дальше глухо

Народ, ай нид хелп, уже мозг сломал. На CCR приходят 2 прова, оба раздают инет по PPPOE. Настроено 3 подсети, одна идёт в нет через первого провайдера, вторая и третья с помощью mark routing в mangle и 2х правил в ip\routes рулят в инет через второго провайдера. Далее стоит задача поднять l2tp+ipsec, чтобы клиенты видели первую подсеть и ходили в интернет через vpn. Поднял сервер l2tp+ipsec, начал настраивать клиента, клиент первую подсеть видит, но у него отваливается инет после подключения. Перерыл уже всё, что помню, голова уже кипит. Трассировка с клиента показывает ответы до vpn ip роутера, дальше глухо

В настройках подключения клиента отключали галочку "маршрут по умолчанию" ?

В том то и дело, галочка нужна, нужно чтобы клиент ходил в инет сквозь vpn подключение через первого провайдера

маркировка на l2tp на src ip клиента вешается для первого провайдера??

маркировка на l2tp где, в ip\firewall\mangle?

да

А вообще конфиги покажи через https://pastebin.com

Сорри, вот верная ссыль https://pastebin.com/raw/XbFr0T43

Еще вопрос, в ip/firewall/connection/tracking - TCP Established timeout = 1 час почему некоторые правила до 5 часов висят, при этом аптайм железки 2 часа с небольшим, они появляются после перезагрузки и после удаления этих соединений?

Сорри, вот верная ссыль https://pastebin.com/raw/XbFr0T43

ты назначаешь сразу бедые адреса l2tp клиентам?

add name=poolvpnl2tp ranges=17.77.7.3-17.77.7.60

Конечно, к ним тоже нужен доступ с первой локалки

Еще вопрос, в ip/firewall/connection/tracking - TCP Established timeout = 1 час почему некоторые правила до 5 часов висят, при этом аптайм железки 2 часа с небольшим, они появляются после перезагрузки и после удаления этих соединений?

перезагружал железку?

да, обновлял ее сегодня

если эти соединения поудалять, секунд через 15-30 они вновь повятся

да, обновлял ее сегодня

Возможно просто сохранило без очистки старые коннекты, когда после перезагрузки обновило и увидело совпадающие записи

клиентам ppp выдаются адреса только для внутренней линковки. Установи локальный и удалённый адрес из серой сети. Например 172.16.0.10 локальный и 172.16.0.11

Ок, попробую

А там где nat ыделай правило для этого клиента snat

Ок, попробую

есть ещё косяк в конфиге

add name=poolguest1724 ranges=172.138.17.100-172.138.17.200

А с ней что? Это для гостевой на хотспот

Это диапазон реальных адресов

172.16.0.1-172.31.255.254

https://ru.wikipedia.org/wiki/IPv4

раздел "Назначения подсетей"

Понял, поколдую, спасибо.

Понял, поколдую, спасибо.

посмотри вот этот вэбинар https://youtu.be/tILuQ8UjPRU

По впн у меня там вообще организованный бардак намечается, часть клиентов будет соединяться по l2tp, часть по pptp (изза виндузятных ограничений количества l2tp-коннектов из под одного айпишника), плюс ещё пара gre-over-ipsec и скорее всего еще пара gre-внутри-l2tp (изза серых айпишников в паре филиалов)

Но самое противное, что делаю я это при условии долбящего перфоратора за стенкой ??

Попробовал сменить все адреса, болт, инета у впн-клиентов нету. Дернул черт проверить, что получает клиент в днс и оказывается:

Вопрос, какого х и где это менять?

у меня dns пусто, т.к. через это соединение в интернет не ходят

Кстати, я в вашем конфиге вижу ссылку на default-profile=vpnl2tp, а само содержания профиля не вижу. Может уже ослеп...

Завелось. Если жизнь\судьба занесёт в маму-Одессу - пишите в личку, с меня экскурс и вкусняхи с пивом?

Завелось. Если жизнь\судьба занесёт в маму-Одессу - пишите в личку, с меня экскурс и вкусняхи с пивом?

Ок. Принял ?

вот так работает и правила маркировки мангл в фаере не нужны и маршруты в ип/роутес создаются сами

Прикол был в том, что маскарадинг прописан чётко для подсетей, общего же правила маскарадинга нету, при отсутствии шлюза он не знал с какого шлюза через какого прова отправлять трафик, вопрос решился любым из двух путей, либо назначением общего правила маскарадинга (но в таком случае почему то не пашет интернет на яблочных девайсах):

Либо прописыванием днс-ников в профиле l2tp (тогда общий маскарадинг не нужен и на яблоках всё пашет):

А они хотели для этих целей брать циску в три раза дороже ?

для этих целей хаплайта хватит

not bad

для этих целей хаплайта хватит

Хаплайт? Серьёзно? На 4 ipsec туннеля, под 50 юзеров l2tp+ipsec, и еще с десяток pptp коннектов плюс разруливание хотспота с видеонаблюдением через 2х провайдеров на максимально-возможной скорости каналов провайдеров?

парни настраваю приоритеты трафика на микроте, скину сюда онисание и конфиг, подскажете правильно ли делаю ?

канал 1 мегабит, три приоритета 1 - гарантированная скорость 100k 2 - гарантированная скорость 700k 3 - остатки - от 100k 1) максимальный, winbox с адреса x.x.x.x 2) ipsec между x.x.x.x и своим внешним y.y.y.y рдп протокол, трафик между локальной сетью 192.168.22.0/24 и сервером 1с 10.0.0.2 (внутри ипсек тунеля) 3) весь остальной трафик /queue type add kind=pcq name=PCQ_down pcq-classifier=dst-address,dst-port \ pcq-dst-address6-mask=64 pcq-src-address6-mask=64 /queue tree add max-limit=900k name=download parent=global queue=PCQ_down add limit-at=100k max-limit=900k name=Prio_1 packet-mark=prio_1 parent=\ download priority=1 queue=PCQ_down add limit-at=100k max-limit=600k name=Prio_3 packet-mark=prio_3 parent=\ download queue=PCQ_down add limit-at=700k max-limit=900k name=Prio_2 packet-mark=prio_2 parent=\ download priority=1 queue=PCQ_down /ip firewall address-list add address=192.168.22.0/24 list=1c add address=10.0.0.2 list=1c add address=x.x.x.x list=ipsec add address=y.y.y.y list=ipsec /ip firewall mangle add action=mark-packet chain=output comment="winbox prio 1" dst-address=\ x.x.x.x log-prefix=winbox new-packet-mark=prio_1 passthrough=no \ protocol=tcp src-port=8291 add action=mark-packet chain=input comment="winbox prio 1" dst-port=8291 \ log-prefix=winbox new-packet-mark=prio_1 passthrough=no protocol=tcp \ src-address=x.x.x.x add action=mark-packet chain=forward comment="1C MS prio 2" dst-address-list=\ 1c log-prefix=prio2 new-packet-mark=prio_2 passthrough=no protocol=tcp \ src-address-list=1c add action=mark-packet chain=input comment="ipsec esp input" \ dst-address-list=ipsec log-prefix=prio2 new-packet-mark=prio_2 \ passthrough=no protocol=ipsec-esp src-address-list=ipsec add action=mark-packet chain=output comment="ipsec esp output" \ dst-address-list=ipsec log-prefix=prio2 new-packet-mark=prio_2 \ passthrough=no protocol=ipsec-esp src-address-list=ipsec add action=mark-packet chain=forward comment="RDP prio 2" dst-port=3389 \ log-prefix=rdp new-packet-mark=prio_2 passthrough=no protocol=tcp add action=mark-packet chain=forward comment="Other prio 3" log-prefix=other \ new-packet-mark=prio_3 passthrough=yes add action=mark-packet chain=output comment="Other prio 3" log-prefix=other \ new-packet-mark=prio_3 passthrough=no add action=mark-packet chain=input comment="Other prio 3" log-prefix=other \ new-packet-mark=prio_3 passthrough=no

Хаплайт? Серьёзно? На 4 ipsec туннеля, под 50 юзеров l2tp+ipsec, и еще с десяток pptp коннектов плюс разруливание хотспота с видеонаблюдением через 2х провайдеров на максимально-возможной скорости каналов провайдеров?

дык тут 30мбит ипсек... это и хаплайт прожует

дык тут 30мбит ипсек... это и хаплайт прожует

30 мег это потолок у впн клиента. В ццр приходит 2 канала по 100мегов каждый

1100х2

200мбит ипсек легко

мне у 1100 не нравится как питание там реализовано... как из гована и палок...

А локалка, внутри которой кроме видеонаблюдения еще с полтинник машин и 3 сервака? Плюс в будущем они ещё скоро расширятся как минимум на 4-5 филиалов.

ERROR: S client not available

А локалка, внутри которой кроме видеонаблюдения еще с полтинник машин и 3 сервака? Плюс в будущем они ещё скоро расширятся как минимум на 4-5 филиалов.

однохренственно

Я честно говоря привык при желании заплатить поменьше всё равно брать железки с учетом "на вырост" и запасом мощности из разряда "лучше чуть чуть переплатить, но адекватно".

ццр хорошая железка, никто не спорит

а по возможностям 9й - это +- 1100x2

Ибо никогда не знаешь, какой завтра будет курс, почём завтра будут стоить железки и чего в голову взбредёт начальству )))

там ж 9 ядер, емнип

а в 1100x2 аппаратный ipsec

они оба в районе 400мбит прожуют

а при чем тут локалка я вообще не понял

локалка на свитчах должна быть, а не на роутере

Внутренняя нагрузка из под локалки неслабая. Народ там дружно гоняет файлы через внешку с/на впн-клиентов и между филиалами, плюс видео с нескольких регистраторов камер смотрят толпой одновременно по 15-20 человек бывает

До этого они вообще на 2011 жили и настроены были моим предшественником через pptp и eoip

Ну как жили, немного страдали ))) Загрузка проца на 2011 - 80-100%

Ну и яблочные планшеты естессно после обновы на ios11 дружно потребовали l2tp+ipsec

Сейчас 2011-му предстоит почётная пенсия в роли одного из маршрутизаторов на самом толстом филиале.

2011 это и есть хаплайт

+ гигабитные порты и вифи получше

Чего? RB2011UiAS-2HnD-IN Mikrotik

https://lanmarket.ua/mikrotik/mikrotik-routerboard-rb-2011uias-2hnd-in-2386/

начинку сравни

А, в этом плане

Ну да )

разница в гигабитных портах и вифи

ну и усб еще есть

И он бедный страдал у них под самую крышку ))

наверн на бриджах и без фастпаса

Дык eoip же. Там по любому бриджи. Плюс ещё и некоторые локальные юзвери через вафляй на нём сидели. Но должен отдать ему дань уважения, прожевать хоть и с тормозами но без глюков и сбоев всю эту толпу с нагрузкой проца под потолок непрерывно в течении пары лет с редкими перезагрузками изза отключений ликтричества - молоток девайс.

да собсна qos настроил и вперед

зачем 200мбит на 100 юзеров - непонятно

Камеры фуллхд, смотрятся не только внутри но и через внешку толпой, плюс с некоторых филиалов камеры сквозь туннели брошены в регистраторы на главном офисе