Sziasztok!
Adott 2 Mikrotik router, amely 1-1 telephely számítógépeit fogja össze, interneten keresztüli VPN kapcsolaton keresztül.
PPTP protokoll, EOIP használatával egy alhálózatban van az összes PC és egyéb hálózati eszköz. Mindkét oldalon van egymással nem ütköző DHCP kiosztás.
A probléma, hogy a PC-ken történő böngészés során bizonyos HTTPS-es oldalak megtekintése problémába ütközik.
Ilyen például a freemail, erstebank, raiffeisen. A google és az otp rendesen működik.
Azok az oldalak, amelyek nem működnek, Firefox alatt a TLS kézfogás végrehajtása művelet közben akadnak el.
Ha megszűnt a VPN kapcsolat a 2 oldal között, akkor a már említett oldalak ismét bejöttek.
Egy teszt környezetben IPSEC-el összerakva a VPN-t, RB951ui-2hnd routerekkel, különböző internet szolgáltatókkal is ugyanez a jelenség.
Mi lehet a probléma, milyen beállítások szükségesek, hogy működjön rendesen a HTTPS?
- 1929 megtekintés
Hozzászólások
- Mire kell az EoIP? Miért nem jobb a célra egy route-olt L3 hálózat?
- Attól, hogy felépül a VPN, az egyes telephelyek továbbra is a saját, helyi gateway-ükön keresztül érik el az Internetet, ugye?
A hibajelenség alapján gyanúsan valahol rossz a routeing, mindez megfejelve MTU problémával. (Az EoIP-en be van kapcsolva a clamp-tcp-mss?)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
- Transzparens módon szükséges, hogy működjön a hálózat.
- A telephelyek saját gateway-ükön keresztül neteznek.
- EoIP-en be van a kapcsolva a clamp-tcp-mss.
- A hozzászóláshoz be kell jelentkezni
Minek az EoIP? Sima route + GRE tunnel + IPsec ami kell neked. https://www.manitonetworks.com/mikrotik/2016/3/5/gre-over-ipsec-tunnels
- A hozzászóláshoz be kell jelentkezni
Tán mert jóval egyszerűbb az EoIP-et összelőni mikin, és az is tud IpSec-et (automatikusan generálja a szabályokat), de nem kell hozzá mindenféle bűvészet. Na pl ezért szeretem az SSTP-t is, mert L2TP+Ipsec-cel csak szívás volt, pláne NAT-on át (tudom, az EoIP és IPIP is NAT mentes környezetbe jó), SSTP-hez meg csak tanúsítvány kell. Az viszont biztos, hogy az EoIP nagyon mimóza tud lenni. Ha nem kell bridge, akkor sokkal stabilabb az IPIP (Wlanon tapasztalva).
Ha nem az MTU a hibás, akkor IPIP-et is érdemes kipróbálni.
- A hozzászóláshoz be kell jelentkezni
Egy L2 tunnel és egy L3 tunnel nem ugyanarra való. Eszembe nem jutna egy Ethernet broadcast domaint azért átbridzselni WAN fölött, mert azt könnyebb beállítani, mint egy L3 tunnelt.
Spórolsz vele beállításkor kétszer két percet, aztán funkcionálisan egy életen át szar lesz :)
Félreértés ne essék, az EoIP tunnelnek is megvan a maga létjogosultsága, de meglehetősen ritkán. Ha láttál már Ethernet forgalmat, akkor valószínűleg utolsóként akarod átpasszírozni egy (valószínűleg szűk és magas késleltetésű) WAN csövön.
- A hozzászóláshoz be kell jelentkezni
+1 (+sok...)
- A hozzászóláshoz be kell jelentkezni
Ok, de az IPIP-et se nehéz belőni és az már L3-as tunnel, vagy rosszul tudom? Én pl azért EoIP-oztam egyszer, hogy ne kelljen kétszer NAT-olni, de az biztos, hogy vicek-vacak lett, inkább a dupla NAT.
- A hozzászóláshoz be kell jelentkezni
Az EOIP nem lehet a hiba oka önmagában, nekem is van 2 elég távoli hely összekötve vele mindenféle gond nélkül.
- A hozzászóláshoz be kell jelentkezni
Tudnál erről némi plusz infót adni, hogyan csináltad?
- A hozzászóláshoz be kell jelentkezni
Kalapos Mikrotik tanfolyam alapján, de ahogy nézem van a jutúbon videó is a dolgoról:
https://www.youtube.com/watch?v=vfug4C9c5gg
De nagyon egyszerű az egész.
- A hozzászóláshoz be kell jelentkezni
mtu +1
- A hozzászóláshoz be kell jelentkezni
Bónuszkérdés: windows és linux kliens esetén is fennáll a probléma?
Az adott forgalmat esetleg próbáltad wireshark-al analizálni?
- A hozzászóláshoz be kell jelentkezni