может ты файрвол не так настроил на зивале? если таки пинги ходят нормально в локалку микротика то ИМХО 2 варианта: 1. ты настроил маскарадинг на зивале и микротик видит только его айпишку, а роут к ней он знает 2. ты закрыл доступ в локалку на зивале.

Я за п.2

МИКРОТИК знает

Кстати, логиш !

может ты файрвол не так настроил на зивале? если таки пинги ходят нормально в локалку микротика то ИМХО 2 варианта: 1. ты настроил маскарадинг на зивале и микротик видит только его айпишку, а роут к ней он знает 2. ты закрыл доступ в локалку на зивале.

на Зивале я сделал стандартный IPSec VPN, коих у меня 17 штук. Просто VPNы между Зивалами. А тут вот один Микрот закрался и не хочет дружить с Зивалами

Есть статья https://zyxel.ru/kb/1981/ но она старая

и у нее не правильные настройки со стороны Mikrotik

а точнее IPSec Police

А в чем там косяк

Tl;dr

IP сети и внешний IP указаны наоборот

IP локалки и WAN IP

Мобыть. Бегло пробежался - вроде норм инструкция

IPSec Policy Src Address - WAN IP SA Src Addreess - Локальная сеть?

dst-address (IP/IPv6 prefix; Default: 0.0.0.0/32) Destination address to be matched in packets. src-address (ip/ipv6 prefix; Default: 0.0.0.0/32) Source IP prefix sa-dst-address (ip/ipv6 address; Default: ::) SA destination IP/IPv6 address (remote peer). sa-src-address (ip/ipv6 address; Default: ::) SA source IP/IPv6 address (local peer).

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Policy

Коллеги, у меня роутер заболе болезнью храбрых — начали дичайше отваливаться линки. В основном по «extensive data loss», реже по «unicast key exchange timeout» или «gropu key exchange timeout». Всё бы хорошо, но эта байда происходит в весьма небольшом офисе — 15 рабочих мест и от слы столько же гаджетов.

Куда не копну — или тупик, или рассматриваются проблемы на передачу пакетов на расстояния около 6-8км.

Стандартное состояние резко начавшего матюкаться лога:

Таже фигня

Может помехи

Коллеги, у меня роутер заболе болезнью храбрых — начали дичайше отваливаться линки. В основном по «extensive data loss», реже по «unicast key exchange timeout» или «gropu key exchange timeout». Всё бы хорошо, но эта байда происходит в весьма небольшом офисе — 15 рабочих мест и от слы столько же гаджетов.

прошивку обновить?

Предпоследняя. Последняя не решает эти проблемы, если верить changelog-у.

Может помехи

самую крутую помеху, которой оказался МФУ со встроенным вайфаем мы уже вырубили. обрывать 5гигагерцовую сеть стало меньше, но проблемы остались. у нас в двойке полно других сетей, но блин, всё не было настолько же печально как сейчас.

А интервал обновления ключей какой

Там похоже выходит что клиент не услышал новый ключ и точка их выкинула с себя

самую крутую помеху, которой оказался МФУ со встроенным вайфаем мы уже вырубили. обрывать 5гигагерцовую сеть стало меньше, но проблемы остались. у нас в двойке полно других сетей, но блин, всё не было настолько же печально как сейчас.

Может микроволновку кто-то зарядил рядом

Микроволновка есть, но она далеко не такая круглосуточная как проблемы.

Ну сам такое видел, но пока проблема не остро стояла

А что по уровням сигналов

На клиенте и точках

@lexfrei ты там вроде вафлю в помещениях готовил

Ась? Есть tl;dr?

Выше смотри

А интервал обновления ключей какой

напомни название опции? :)

Диссациация клиентов

напомни название опции? :)

В security где-то

У меня голова квадратная, форвордни главное?

Unicast key exchange timeout

Остальное следствие

Имхо

У меня такой фигни не было.

Это капсмен/самостоятельные точки?

все — пользовательские ПК.

А точки-то что? Или это одна точка?

Брр? Один роутер и куча клиентов.

Понял. 2,4 only?

Покажи export настроек радио?

Unicast key exchange timeout

Если это group key update то 5 минут, если нет, то я дико туплю где это глянуть.

Понял. 2,4 only?

5 тоже есть.

btw, покажи /export

/interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n country=ukraine default-forwarding=no disabled=no distance=\ indoors frequency=auto hw-retries=14 mode=ap-bridge name=wlan1_2ghz ssid=\ "wnet2" wireless-protocol=802.11 wmm-support=enabled set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce \ country=ukraine disabled=no distance=indoors frequency=auto hw-retries=14 \ mode=ap-bridge name=wlan2_5ghz ssid=wnet5 wireless-protocol=802.11 \ wmm-support=enabled /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \ management-protection=allowed mode=dynamic-keys supplicant-identity=\ MikroTik wpa-pre-shared-key=********* wpa2-pre-shared-key=*********

или не этот экспорт?

Вполне себе

вариантов, вижу, нет…

Если это group key update то 5 минут, если нет, то я дико туплю где это глянуть.

да. попробовать время побольше поставить или вообще выключить

я просто вижу ситуацию

точка хочет замену ключей

клиенты ее не услышали

и шлют старые

она им шлет деауф

ERROR: S client not available

они все равно тупят и не слышат

но потом все таки отваливаются

может клиенты виноваты тоже

Учитывая актуальные проблемы с радио у микротика — может быть, что он не верно сообщает о новом ключе

Ничему нельзя удивляться

Боюсь, проблема в тике, было такое, как-то само прошло

Ребят может подскажите? Получаю unable to resolve hostname при попытке отправить сообщение в телеграм через бота

Хотя вроде даже Артем сегодня протестировал и мне пришло все сразу.... Уже вроде все проверил днс вбил руками и вырубил файрвол всеравно одно и тоже

Ааааа всем СПС разобрался

Коллеги, у меня роутер заболе болезнью храбрых — начали дичайше отваливаться линки. В основном по «extensive data loss», реже по «unicast key exchange timeout» или «gropu key exchange timeout». Всё бы хорошо, но эта байда происходит в весьма небольшом офисе — 15 рабочих мест и от слы столько же гаджетов.

андроиды засыпают. вроде это причина таких ошибок если память не подводит

В чём беда была, интересно жк?)

Ребят, агрегация портов по LACP с балансировкой трафика между Cisco и Mikrotik возможна? Есть где мануал какой?

Все как всегда в грамматике, при копировании как то коряво перенеся в консоль микротика

ну так гугли режимы работы бондинга у микротика и езерченела у циски. должны же пересекатся ?

Имя сайта*

Да вот искал коллега сегодня, чёт ничего толкового вроде

да ну, щас

http://wiki.mikrotik.com/wiki/Manual:Interface/Bonding#802.3ad

http://www.k-max.name/vmware/razbiraemsya-s-lacp-i-nic-teaming-v-vmware/

отсюда абзац Режим работы EtherChannel Теперь давайте рассмотрим нюансы работы протокола LACP на примере оборудования Cisco (имеющие отношение к Vmware vSphere). Итак, оборудование Cisco, поддерживающее EtherChannel может настроить этот самый EtherChannel в нескольких режимах. За это отвечает команда channel-group (подробней - в ссылках в документе IEEE 802.3ad Link Bundling). Из всех возможных режимах в Cisco, Vmware поддерживает только 3 (до версии 5.5 - только 1). Рассмотрим режимы EtherChannel : channel-group номер_группы mode active Данный режим включает Link Aggregation Control Protocol (LACP) на интерфейсе постоянно. То есть Cisco в любом случае является источником LACP PDU пакетов. Скажем так - является активным инициатором. channel-group номер_группы mode passive LACP включается только когда обнаружено поступление LACP пакетов от другой стороны. Скажем так - является пассивным инициатором. channel-group номер_группы mode on Данный режим включает EtherChannel без использования каких-либо протоколов согласования. Это так называемый статический EtherChannel или статический NIC Teaming или статическая агрегация. Назвать данный режим LACP - нельзя. Т.к. для его работы не используется функционал протокола LACP. Т.е. не происходит автоматического согласование канала на основе обмена LACP пакетами. channel-group номер_группы mode {auto [non-silent] | desirable [non-silent]} Это другие возможные режимы работы, но они нам не интересны, т.к. используют для согласования проприетарный протокол PAgP и vSphere не поддерживаются. Работа протокола LACP будет возможна, при следующих конфигурациях сторон: Режим работы LACP passive active passive - OK active OK OK То есть, неработающая конфигурация, когда обе стороны настроены в LACP passive режиме. Статическая агрегация IEEE 802.3ad возможна только когда обе стороны настроены в статическом режиме.

На Cisco мы знаем как настроить, со стороны МТ интересует. Коллега настроил, тестировал, трафик не балансируется

Но щас почитаю

ты еще скажи что трафик гонял между двумя компами ?

ну признайся, между двумя серваками ведь трафик гоняли, правда? ?

между микротиками он пытался сделать ещё )) И между ними гонял вроде ))

так что лучше по два сервака с каждой стороны и уже так тестировать. та ж хрень по МАС распределяет. не будет она размазывать трафик если МАС один во всех пакетах ?

The hash includes the Ethernet source and destination address and if available, the VLAN tag, and the IPv4/IPv6 source and destination address

Да, алгоритм хэша с двух сторон настраивается