Anibius
сталкивался когда не работал L2TP поверх IPSEC и L2TP поверх IPSEC с NAT-Traversal
Anibius
https://nixman.info/?p=2308
Anibius
ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp
Konstantin
в proposoal поствь все галочки
Поставил часть галочек на основе доступных протоколов прошлого роктерам dlink. И взлетело. Спасибо тебе добрый человек.
Kirill
Konstantin
Еще поставил в Ipsec peer параметр generate police: post strict
Konstantin
Policies сам создался слава микротику и циске
Moneron 🇷🇺
Теперь можно 200 роутеров в EVE создавать :)
Moneron 🇷🇺
NIKOLYA
меритесь что ль?)
Алексей
Это в ноуте?
Алексей
Теперь можно 200 роутеров в EVE создавать :)
Под EVE что подразумевается, какой то гипервизор?
Moneron 🇷🇺
EVE – это эмулятор
Алексей
Это аббревиатура я так понимаю, как расшифровывается?
Moneron 🇷🇺
Emulated Virtual Environment Next Generation
Konstantin
Привет. Всем я с нова к вам с проблемой тунелей межуд миротиком и циской. Тунель поднимается и работает ровно 1 час. пока не перезагрузишь микротик. Что посомтреть? где подкрутить ?
Konstantin
Может есть какой то параметр время жизни тюнеля?
Владислав
Кипалив тайм-аут?
Anonymous
Может это циска рвёт......
Konstantin
сомневаюсь. до этого d-link был не рвалось. и туняля два две циски обе рвутся одновременно
Anonymous
Айписек с л2тп или чистый?
Anonymous
Кто пассив, кто актив?
Anonymous
Я так прыгал вокруг керио и микротика..... В итоге косяк в керио....
Anonymous
Трафик по тунелю постоянно бежит или бывает затихает?
Anonymous
Микротик актив или пассив? Кто является инициатором падения?
Konstantin
сейчас микротик актив.
Konstantin
точнее галочка пассив не стоит значит актив ?
Anonymous
Да
Konstantin
трафик постоянно бегает по тунелю
Konstantin
как выяснить кто инциирует разрыв ?
Anonymous
Значит, в теории, это Микротик рвёт..... Кипэлив таймаут сколько стоит?
Konstantin
где посомтреть кипэлив таймаут ?
Konstantin
а логи сейчас гляну как только будет новый обрыв.
Anonymous
В настройках айписека естессн.... Точнее сказать не могу, т.к. в дороге
Anonymous
После падения само переподнимается?
Konstantin
нет
Konstantin
Anonymous
Лайфтайм убирайте
Anonymous
Имхо каждые пол часа туннель рвался, а не каждый час)
Konstantin
в этом причина ?
Anonymous
Предварительно да, я же не знаю полной картины. Надо логи смотреть в первую очередь
Konstantin
кажись помогло убрать lifetime
Anonymous
👍
Konstantin
Спасибо!
Konstantin
итсория продолжается
Konstantin
11:23:21 ipsec,info respond new phase 1 (Identity Protection): x.x.x.x[500]<=>y.y.y.y[500]
11:23:22 ipsec,info ISAKMP-SA established x.x.x.x[500]-y.y.y.y[500] spi:d3752273819a7726:19273976760fb5dc
11:23:22 ipsec,info respond new phase 1 (Identity Protection): x.x.x.x[500]<=>z.z.z.z[500]
11:23:22 ipsec,info ISAKMP-SA established x.x.x.x[500]-z.z.z.z[500] spi:214868c533588bb5:f1666441959f56e7
12:11:22 ipsec,info initiate new phase 1 (Identity Protection): x.x.x.x[500]<=>z.z.z.z[500]
12:11:22 ipsec,info initiate new phase 1 (Identity Protection): x.x.x.x[500]<=>y.y.y.y[500]
12:11:23 ipsec,info ISAKMP-SA established x.x.x.x[500]-y.y.y.y[500] spi:33a764b4bfff85c6:0e0892cf44980acb
12:11:23 ipsec,info ISAKMP-SA established x.x.x.x[500]-z.z.z.z[500] spi:6d7806b85439ed90:cb26db2608c21945
12:23:22 ipsec,info purging ISAKMP-SA x.x.x.x[500]<=>y.y.y.y[500] spi=d3752273819a7726:19273976760fb5dc.
12:23:22 ipsec,info purging ISAKMP-SA x.x.x.x[500]<=>z.z.z.z[500] spi=214868c533588bb5:f1666441959f56e7.
12:23:23 ipsec,info ISAKMP-SA deleted x.x.x.x[500]-y.y.y.y[500] spi:d3752273819a7726:19273976760fb5dc rekey:1
12:23:23 ipsec,info ISAKMP-SA deleted x.x.x.x[500]-z.z.z.z[500] spi:214868c533588bb5:f1666441959f56e7 rekey:1
13:11:22 ipsec,info purging ISAKMP-SA x.x.x.x[500]<=>y.y.y.y[500] spi=33a764b4bfff85c6:0e0892cf44980acb.
13:11:22 ipsec,info purging ISAKMP-SA x.x.x.x[500]<=>z.z.z.z[500] spi=6d7806b85439ed90:cb26db2608c21945.
13:11:22 ipsec,info initiate new phase 1 (Identity Protection): x.x.x.x[500]<=>z.z.z.z[500]
13:11:22 ipsec,info initiate new phase 1 (Identity Protection): x.x.x.x[500]<=>y.y.y.y[500]
13:11:23 ipsec,info ISAKMP-SA established x.x.x.x[500]-y.y.y.y[500] spi:111137bcc7ecb16f:0e0892cf48314924
13:11:23 ipsec,info ISAKMP-SA established x.x.x.x[500]-z.z.z.z[500] spi:6746dbda44252bc1:cb26db26841f3234
13:11:23 ipsec,info ISAKMP-SA deleted x.x.x.x[500]-y.y.y.y[500] spi:33a764b4bfff85c6:0e0892cf44980acb rekey:1
13:11:23 ipsec,info ISAKMP-SA deleted x.x.x.x[500]-z.z.z.z[500] spi:6d7806b85439ed90:cb26db2608c21945 rekey:1
Konstantin
я так понимаю каналы упали в 13:11
digic
Привет. Ребят кто поднимал sstp микрот митрот с сертификатами?
digic
Что то не могу с сертификатами разобраться
digic
Кто в чем генерировал?
Moneron 🇷🇺
Вроде как, в самом микроте можно сгенерить и подсунуть
digic
Делал не работает
digic
В мануале который нашел написано что при подписании ca должен быть флаг kat у меня получается klat
Moneron 🇷🇺
Конечно, без доступа на другой конец туннеля — это гадание на кофейной гуще
Kirill
Конечно, без доступа на другой конец туннеля — это гадание на кофейной гуще
я бы небыл так категоричен
Kirill
если секретный ключ или сертфиикаты известны, то всё остальное можно вытащить из дэбага
Evgenii
Никто еще не репортил баг special classes router в текущей прошивки?
Если в dhcp клиенте выбрать add-default-route=special-classless, то метрику нельзя будет поменять через Winbox и она будет равна 0
Через CLI метрика устанавливается успешно
Evgenii
точнее дистанцию нельзя поменять\задать
Evgenii
@moneron Насколько я помню вы часто репортите, сделайте если не сложно, я этого никогда не делал :)
Moneron 🇷🇺
@moneron Насколько я помню вы часто репортите, сделайте если не сложно, я этого никогда не делал :)
Да, хотел. Поменять можно, но неочевидно. Поставьте yes, поменяйте, верните special classless
Evgenii
вы как всегда правы!
Konstantin
Ситуация с тунелими прояснилась. Перекрутил firewall nat. Отключил пару правил и канал не падает между циской и микротиком. Еще раз спасибо всем кто откликнулся.
Konstantin
Подскажите а как можно мониторить тунели. Пинги с микротику в тунель не проходят. А внутри в сетях все ок
Moneron 🇷🇺
Подскажите а как можно мониторить тунели. Пинги с микротику в тунель не проходят. А внутри в сетях все ок
Укажите src-address из нужных сетей при пинге, тогда пойдёт
Moneron 🇷🇺
[n@BR-LV] > ping 192.168.191.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.191.1 timeout
1 194.8.8.224 56 254 0ms admin prohibited
sent=2 received=0 packet-loss=100%
[n@BR-LV] > ping 192.168.191.1 src-address=192.168.12.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.191.1 56 255 25ms
sent=1 received=1 packet-loss=0% min-rtt=25ms avg-rtt=25ms max-rtt=25ms
Konstantin
Спасибо получилось
Алексей
В наших рядах пополнение сегодня 14 человек из Татарстана получили MTCNA, и я в том числе, прошу не считать флудом, пару стопок берхеровки наконец то меня расслабили, еще раз сорри за оффтоп.
Дмитрий
Поздравляю!
Anonymous
!!!!!!!!!!!!!!! Добро пожаловать в наши дружные ряды. Тут всегда тёплая атмосфера и все приходят друг другу на помощь. Вэлкам!!!!!!!!!!
Igor
Я так же из их числа. Хочется поблагодарить тренера Александра Романова за непринужденную атмосферу курсов и легкую подачу информации.
ildar
Vladimir Kudarev
Коллеги привет, имею в домашнем пользовании 951G-2HnD и в продакшн около 85 таких девайсов, обнаружил странное поведение сих девайсов(попробовал на 4ех из продакшн и своем домашнем), при запуске в консоли «interface wireless spectral-history wlan1» микроты уходят в ребут N кол-во секунд(как правило от 2-5сек). Сие поведение наблюдаю на прошках: 6.37.4, 6.38.1 и 6.39rc27, мне одному так повезло или это как раз тот случай когда руки не из того места растут? (Ранее этот функциолнал юзался без каких либо проблем)
Moneron 🇷🇺
Свой уже давно продал. На старых версиях прошивки такого не наблюдалось. Проверьте, обновили ли вы RouterBOOT (System-RouterBOARD)
Konstantin
Домашний 951G-2HnD c прошивкой 6.38.1 спектр показывает без проблем. Проверь нет ли ошибок инсталяции /system check-installation. У меня был случай что переставал работать reboot и shutdown, вводишь и ничего не происходило, чек инсталейшен не отрабатывал. Помогло перепрошить через нетисталл.
Vladimir Kudarev
Загрузчик у всех обновлен до текущего 3.33, installation is ok - "installation is ok"
Konstantin
winbox последний ? у меня 3.9, может изза него... Забэкапь домашний, и попробуй через нетисталл всё же прошить, больше идей нет.
Алексей
Загрузчик у всех обновлен до текущего 3.33, installation is ok - "installation is ok"
А на хаплайте с тренинга попробуй кстати заодно