Russian Users MikroTik | Форум пользователей MikroTik

algerka писал(а): ↑20 сен 2019, 16:06

d_man писал(а): ↑20 сен 2019, 14:34

algerka писал(а): ↑20 сен 2019, 12:08
попробуйте 1400

1400 не пробовал, пробовал 1300 ставить, не помогло.
Есть смысл 1400 ставить в этом случае?

Если не сложно попробуйте. Ставили на EOIP ?

Хорошо. Попробую.
Ставил на EoIP, да. На bridge, в который входит EoIP MTU установлен в 1500.

d_man писал(а): ↑21 сен 2019, 08:14 Хорошо. Попробую.
Ставил на EoIP, да. На bridge, в который входит EoIP MTU установлен в 1500.

Не надо на бридже ничего ставить, он должен сам установить на уровне минимальном из всех портов, которые в него входят.

xvo писал(а): ↑21 сен 2019, 11:34

d_man писал(а): ↑21 сен 2019, 08:14 Хорошо. Попробую.
Ставил на EoIP, да. На bridge, в который входит EoIP MTU установлен в 1500.

Не надо на бридже ничего ставить, он должен сам установить на уровне минимальном из всех портов, которые в него входят.

Если на бридже оставить mtu минимальноравным входящим в него порту, то не открываются многие сайты у пользователей.

d_man писал(а): ↑23 сен 2019, 08:03

xvo писал(а): ↑21 сен 2019, 11:34

d_man писал(а): ↑21 сен 2019, 08:14 Хорошо. Попробую.
Ставил на EoIP, да. На bridge, в который входит EoIP MTU установлен в 1500.

Не надо на бридже ничего ставить, он должен сам установить на уровне минимальном из всех портов, которые в него входят.

Если на бридже оставить mtu минимальноравным входящим в него порту, то не открываются многие сайты у пользователей.

Странно, мне казалось, что бридж на всех портах тогда должен Actual MTU должен подогнать под минимум.
Руками тогда на всех портах установите одинаковый с туннелем.

xvo писал(а): ↑23 сен 2019, 08:47

d_man писал(а): ↑23 сен 2019, 08:03

xvo писал(а): ↑21 сен 2019, 11:34
Не надо на бридже ничего ставить, он должен сам установить на уровне минимальном из всех портов, которые в него входят.

Если на бридже оставить mtu минимальноравным входящим в него порту, то не открываются многие сайты у пользователей.

Странно, мне казалось, что бридж на всех портах тогда должен Actual MTU должен подогнать под минимум.
Руками тогда на всех портах установите одинаковый с туннелем.

Одинаковый с туннелем это какой? Ниже 1500?
Тогда сайты не все открываются у пользователей локальной сети.

d_man писал(а): ↑23 сен 2019, 10:27

xvo писал(а): ↑23 сен 2019, 08:47

d_man писал(а): ↑23 сен 2019, 08:03

Если на бридже оставить mtu минимальноравным входящим в него порту, то не открываются многие сайты у пользователей.

Странно, мне казалось, что бридж на всех портах тогда должен Actual MTU должен подогнать под минимум.
Руками тогда на всех портах установите одинаковый с туннелем.

Одинаковый с туннелем это какой? Ниже 1500?
Тогда сайты не все открываются у пользователей локальной сети.

Но при этом туннель начинает работать нормально или нет?

В общем то, что у вас при уменьшении MTU перестают "открываться сайты" указывает, что где-то проблемы с PMTUD на стороне провайдера.
Либо как-то разбираться, либо как костыль добавлять в mangle правила изменяющие TCP MSS.
Либо, как вам уже несколько раз сказали, отказываться от EoIP и строить GRE (или IPIP), ну в общем что-то для чего можно будет правильно MTU указать, не трогая его для локальной сети.

xvo писал(а): ↑23 сен 2019, 10:53 Но при этом туннель начинает работать нормально или нет?

Отчитаюсь вновь)
Возможно кого-то натолкнет на решение проблемы или укажет в ком проблема.
EoIP туннель нормально не работает при различных значениях MTU на бридже и на самом EoIP. Пробовал устанавливать MTU 1400 на туннель и на бридж, пробовал давать рассчитать MTU автоматически Mikrotik, все равно происходят перезагрузки Mikrotik в головном офисе. Стабильно все работает только если отключить IPSec только на туннеле "проблемного" филиала. На остальных туннелях IPSec включен постоянно и Mikrotik в головном офисе не перезагружается.

Потихонечку перевожу филиалы на GRE туннели.
А "проблемный" оставил на потом. Из шести филиалов пока три на GRE туннелях, а три на EoIP туннелях.
И так:
1. В головном офисе роутер mikrotik выступает в качестве шлюза для локальных пользователей и еще как L2TP сервер для удаленных пользователей.
2. Если я (допустим из дома) подключаюсь по L2TP к Mikrotik в головном офисе, то отваливается EoIP туннель "проблемного" филиала, интернет при этом в проблемном филиале продолжает работать, но через Winbox по внешнему IP Mikrotika "проблемного" филиала я в его настройки попасть не могу, хотя этот внешний IP в этот момент пингуется.
3. EoIP туннель удается восстановить только выключив его и включив на Mikrotik'е в головном офисе.
4. После этого и связь с Mikrotik "проблемного" филиала по внешнему IP восстанавливается.

Пункты 2, 3 и 4 происходят и при отключении L2TP соединения.

Пробовал подключаться по L2TP из разных сетей и с различных провайдеров - результат один и тот же. В L2TP сервере Mikrotik также используется IPSec, в EoIP туннеле "проблемного"филиала IPSec в этот момент не используется.
Вот поэтому я и оставил перевод на GRE этого филиала на потом, так как в GRE тоже планирую использовать IPSec (в других филиалах я его использую) и боюсь что проблемы не уйдут.
Мне кажется что тут вина провайдера, возможно его оборудование не правильно работает с IPSec шифрованием.
На мой запрос проверить это провайдер ответил что у них все в порядке.

Техподдержка Mikrotik тоже молчит, на мои письма не отвечают.

пока сжато и обобщённо отвечу:

1) есть сеансовые протоколы (это PPTP, L2TP,SSTP), не корректно будет, но скажу по-русски так,
это когда один(клиент) "звонит" на сервер.

2) есть несеансовые протоколы туннельные (это IPIP, GRE, и EoIP). Они с двух сторон равноправны,
сами входят при правильных настройках в связь.

Почему я так начал с далека, когда Вы поднимаете L2TP - Вы в настройках его указываете
галочку "Add default route", если да = то зря, ибо когда вы подключаете микротик по L2TP,
и если стоит галка, то это подключение становиться по-умолчанию, и отсюда описанные
по больше части признаки отвала.
Лучше шлюз по дефолту не ставить, но делать L2TP Server Binding и через созданный
виртуально-постоянный этот интерфейс описать статически маршруты офиса удалённого.

На счёт GRE - подключите его между офисами пока без шифрования, 1-2 дня поглядите,
потом уже включите шифрование. Этот туннель самый простой, в целом не капризный.

Делать L2TP и в него делать EoIP - это через чур, нагрузка большая.
И конечно ребут роутера меня настораживает, я с таким не встречался, нет, встречался,
когда ДДоСили (атаку делали на железку), а так глюки разные за практику были,
но роутер не перегружался.


P.S.
Вот для примера показываю как частично у меня сделано с EoIP (скрин с домашнего роутера)
У меня уже натянут канал GRE между моим дом. микротиком и рабочим, там бегают локальные,
и рабочие сети, и плюс, в рамках уже канала этого я передают 4 отдельных туннеля,
каждый туннель это отдельный провайдер, туннели EoIP я уже на домашнем роутере
через бриджи (каждый для своего) делаю с отдельным портом (для удобства проверки надо).

Главное я хотел показать, какие значения стоят у меня (всё в автоматическом режиме)
значения Actual MTU и L2MTU
(обратите внимание, что бридж номер 12 = идёт отличие, и хотя на той стороне стоит роутер
и работает, но на той стороне, у провайдера 2 упал линк. Нет канала до них, поэтому и значения другие).

Vlad-2 писал(а): ↑28 сен 2019, 15:19 пока сжато и обобщённо отвечу:

1) есть сеансовые протоколы (это PPTP, L2TP,SSTP), не корректно будет, но скажу по-русски так,
это когда один(клиент) "звонит" на сервер.

2) есть несеансовые протоколы туннельные (это IPIP, GRE, и EoIP). Они с двух сторон равноправны,
сами входят при правильных настройках в связь.

Почему я так начал с далека, когда Вы поднимаете L2TP - Вы в настройках его указываете
галочку "Add default route", если да = то зря, ибо когда вы подключаете микротик по L2TP,
и если стоит галка, то это подключение становиться по-умолчанию, и отсюда описанные
по больше части признаки отвала.
Лучше шлюз по дефолту не ставить, но делать L2TP Server Binding и через созданный
виртуально-постоянный этот интерфейс описать статически маршруты офиса удалённого.

Вы не правильно тут меня поняли. Я по L2TP поднимаю подключение не mikrotik - mikrotik, а Windows - mikrotik. И в настройках соединения под Windows галочка "использовать основной шлюз в удалённой сети" снята.

Vlad-2 писал(а): ↑28 сен 2019, 15:19 На счёт GRE - подключите его между офисами пока без шифрования, 1-2 дня поглядите,
потом уже включите шифрование. Этот туннель самый простой, в целом не капризный.

Делать L2TP и в него делать EoIP - это через чур, нагрузка большая.
И конечно ребут роутера меня настораживает, я с таким не встречался, нет, встречался,
когда ДДоСили (атаку делали на железку), а так глюки разные за практику были,
но роутер не перегружался.

Тут тоже не совсем так: Я EoIP поверх L2TP не поднимаю. Либо L2TP, либо EoIP (даже не так... Просто L2TP между Windows и Mikrotik, а EoIP сам по себе). И вот в момент подключения клиента Windows по L2TP падает EoIP туннель.

Vlad-2 писал(а): ↑28 сен 2019, 15:19 P.S.
Вот для примера показываю как частично у меня сделано с EoIP (скрин с домашнего роутера)
У меня уже натянут канал GRE между моим дом. микротиком и рабочим, там бегают локальные,
и рабочие сети, и плюс, в рамках уже канала этого я передают 4 отдельных туннеля,
каждый туннель это отдельный провайдер, туннели EoIP я уже на домашнем роутере
через бриджи (каждый для своего) делаю с отдельным портом (для удобства проверки надо).

Главное я хотел показать, какие значения стоят у меня (всё в автоматическом режиме)
значения Actual MTU и L2MTU
(обратите внимание, что бридж номер 12 = идёт отличие, и хотя на той стороне стоит роутер
и работает, но на той стороне, у провайдера 2 упал линк. Нет канала до них, поэтому и значения другие).

За это спасибо большое! Сейчас нет возможности за компьютером все посмотреть, а со смартфона неудобно. В понедельник обязательно все посмотрю внимательно.