В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Mikrotik-Training

5773 membersпожаловаться на группу
2021 March 17

MJ

Malk John in Mikrotik-Training
Aslan
мож там правила особые на внц, которые трафик маркируют, и трафик потом заворачивается куда не надо.
такая же печенька и с ip-телефонами. созвон - со стороны телефона за микротиком - вроде слышат\видят, со стороны телефона чекпоинта - нет видео. Нажимаешь на нужном правиле enable и есть контакт и видео и аудио
источник
13:20пожаловаться#1

A

Aslan in Mikrotik-Training
Malk John
такая же печенька и с ip-телефонами. созвон - со стороны телефона за микротиком - вроде слышат\видят, со стороны телефона чекпоинта - нет видео. Нажимаешь на нужном правиле enable и есть контакт и видео и аудио
А на чекпойнте в это время статус туннеля ОК? В логах о подключении/переподключении нет записей, особенно различающихся по времени на чекпойнте и микротике?
Сверьте ещё Lifetime и DPD.
источник
13:23пожаловаться#2

MJ

Malk John in Mikrotik-Training
Aslan
Причина может быть и в файерволе, и в роутинге. Может и в манглах, может в NAT.
вот файрволл микротика (ну я пробовал вообще убрать все drop - нет толку). Манг вообще не строил, там пусто
источник
13:23пожаловаться#3

A

Aslan in Mikrotik-Training
Malk John
вот файрволл микротика (ну я пробовал вообще убрать все drop - нет толку). Манг вообще не строил, там пусто
на скринах многого не видно, но пока по описанию похоже на проблемы с connections. Проверьте, когда не подключается/не работает то, что надо, нет ли "мёртвых" соединений на вкладке connections и не решает ли удаление имеющихся (отбирайте по портам/адресам) проблему.
источник
13:25пожаловаться#4

MJ

Malk John in Mikrotik-Training
Aslan
А на чекпойнте в это время статус туннеля ОК? В логах о подключении/переподключении нет записей, особенно различающихся по времени на чекпойнте и микротике?
Сверьте ещё Lifetime и DPD.
сверил lifetime всё чётко. по времени логи смотрел, все реконнекты фаз IKE в порядке. Файрвол на чекпоинте там правило строится для всего community S2S VPN - всё accept
источник
13:27пожаловаться#5

MJ

Malk John in Mikrotik-Training
Aslan
на скринах многого не видно, но пока по описанию похоже на проблемы с connections. Проверьте, когда не подключается/не работает то, что надо, нет ли "мёртвых" соединений на вкладке connections и не решает ли удаление имеющихся (отбирайте по портам/адресам) проблему.
понял, буду смотреть, спасибо за отклик
источник
13:29пожаловаться#6

С

Станислав in Mikrotik-Training
Malk John
сверил lifetime всё чётко. по времени логи смотрел, все реконнекты фаз IKE в порядке. Файрвол на чекпоинте там правило строится для всего community S2S VPN - всё accept
а можно расписать что там за подсети замазаны
источник
13:31пожаловаться#7

MJ

Malk John in Mikrotik-Training
Станислав
а можно расписать что там за подсети замазаны
вот dst которые, выше отправлял. Ну логично, что src это за микротиком которые. Они же все вот и в микротике в policies
источник
13:33пожаловаться#8

MJ

Malk John in Mikrotik-Training
источник
13:33пожаловаться#9

MJ

Malk John in Mikrotik-Training
Aslan
в связке с kerio работает при Level=Unique.
Ёмаё! По всей видимости, это оно! Только что поменял level во всех правилах на unique - работает!
источник
13:43пожаловаться#10

A

Aslan in Mikrotik-Training
Malk John
Ёмаё! По всей видимости, это оно! Только что поменял level во всех правилах на unique - работает!
хорошо, если так. 😊 Я  every fucking time забываю об этой настройке, вспоминаю только когда помудохаюсь минут 10 и начну сравнивать с рабочими конфигами.
источник
13:44пожаловаться#11

MJ

Malk John in Mikrotik-Training
Aslan
хотя из описания этих параметров в вики я не понял закономерности. Но тут дело скорее во мне.
Сам сегодня курил весь этот wiki - тоже не придал значения... существенная разница. Вообще, у меня есть время помониторить коннекшаны при required и может смогу глубже раскопать и понять разницу)) Спасибо еще раз!
источник
13:45пожаловаться#12

A

Aslan in Mikrotik-Training
вот щас нам расскажут разницу
источник
13:47пожаловаться#13

E

Eugene in Mikrotik-Training
Malk John
Сам сегодня курил весь этот wiki - тоже не придал значения... существенная разница. Вообще, у меня есть время помониторить коннекшаны при required и может смогу глубже раскопать и понять разницу)) Спасибо еще раз!
разница в том, что required использует одну SA на пира
unique - уникальную SA на каждую политику
источник
13:48пожаловаться#14

A

Aslan in Mikrotik-Training
Eugene
разница в том, что required использует одну SA на пира
unique - уникальную SA на каждую политику
т.е. если один пир "пользуется" разными политиками, то SA при requre будет на него одна?
источник
13:48пожаловаться#15

MJ

Malk John in Mikrotik-Training
so easy??
источник
13:48пожаловаться#16

E

Eugene in Mikrotik-Training
Malk John
so easy??
соу изи.
источник
13:49пожаловаться#17

MJ

Malk John in Mikrotik-Training
плохо курил)
источник
13:49пожаловаться#18

A

Aslan in Mikrotik-Training
а чекпойнт и керио, видимо, по умолчанию генерируют на каждую политику свой SA. Вот и весь секрет.
источник
13:50пожаловаться#19

MJ

Malk John in Mikrotik-Training
ну ок, т.е. на одну политику создаётся 2 SA (как я вижу сейчас у себя) - from src to dst addrs в обе стороны?
источник
13:52пожаловаться#20