Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

   

w00dpecker

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так, самое время извиниться за сумбур и уточнить
Значит имеется сеть 192.168.2.0/24 - головной офис. Наружу торчит $EXT_IP1
Сеть 192.168.16.0/24 - удалённый офис. Наружу торчит $EXT_IP2
Между ними ipsec
Приведу конфиг с удаленного офиса:

Код:
ip ipsec peer print
Flags: X - disabled, D - dynamic  
 0    address=$EXT_IP1 local-address=:: passive=no port=500  
      auth-method=pre-shared-key secret=$IPSECKEY  
      generate-policy=no policy-template-group=LOCAL exchange-mode=main  
      mode-config=request-only send-initial-contact=yes nat-traversal=no  
      proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256  
      dh-group=modp1024 lifetime=8h lifebytes=0 dpd-interval=2m  
      dpd-maximum-failures=5
 
ip ipsec proposal print
Flags: X - disabled, * - default  
 0    name="LOCAL" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=8h
      pfs-group=modp1024  
 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default  
 0 T * group=*2 src-address=::/0 dst-address=::/0 protocol=all proposal=default  
       template=yes  
 
 1     src-address=192.168.16.0/24 src-port=any dst-address=192.168.2.0/24  
       dst-port=any protocol=all action=encrypt level=unique  
       ipsec-protocols=esp tunnel=yes sa-src-address=$EXT_IP2  
       sa-dst-address=$EXT_IP1 proposal=LOCAL priority=0  
 

 
В удалённом офисе пара принтеров, 5-6 компьютеров, микротик - DHCP сервер. ДНС пересылается на контроллер домена в головной офис (поднять им локально DC с DHCP и DNS на какой-нибудь CentOS в планах есть, никак не реализуется).
Сегодня утром получилось так, что принтеры видны из головного офиса. Принтерам виден головной офис.
Вполне можно зайти на вебмордочку.
Ни один компьютер не мог соединиться с компьютером в другой сети. В соединениях видны были исходящие пакеты. А в ответ всегда тишина.
Ситуация воспроизводилась после перезапуска принтеров, рабочих станций и роутера.
Решилось всё удалением и повторной настройкой IPSEC.
Вопрос теперь скорее "что это было?!"
Чем принтер отличается от рабочей станции с точки зрения IP протокола?
И что-делать-куда-смотреть если повторится?
Как можно отследить путь пакета (роутер его принял, расшифровал, изучил, маршрутизировал, отправил. Где-то в этой цепочке выяснилось что пакет рожей не вышел. За что и был дропнут)? В общем, последовательность действий для сбора диагностической информации в этом случае какая?

Всего записей: 21 | Зарегистр. 13-04-2016 | Отправлено: 13:11 20-04-2016
   

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru