Mikrotik VPN HTTPS hiba

 ( BlackMagic | 2017. november 17., péntek - 18:04 )

Sziasztok!

Adott 2 Mikrotik router, amely 1-1 telephely számítógépeit fogja össze, interneten keresztüli VPN kapcsolaton keresztül.
PPTP protokoll, EOIP használatával egy alhálózatban van az összes PC és egyéb hálózati eszköz. Mindkét oldalon van egymással nem ütköző DHCP kiosztás.

A probléma, hogy a PC-ken történő böngészés során bizonyos HTTPS-es oldalak megtekintése problémába ütközik.
Ilyen például a freemail, erstebank, raiffeisen. A google és az otp rendesen működik.

Azok az oldalak, amelyek nem működnek, Firefox alatt a TLS kézfogás végrehajtása művelet közben akadnak el.
Ha megszűnt a VPN kapcsolat a 2 oldal között, akkor a már említett oldalak ismét bejöttek.

Egy teszt környezetben IPSEC-el összerakva a VPN-t, RB951ui-2hnd routerekkel, különböző internet szolgáltatókkal is ugyanez a jelenség.

Mi lehet a probléma, milyen beállítások szükségesek, hogy működjön rendesen a HTTPS?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

- Mire kell az EoIP? Miért nem jobb a célra egy route-olt L3 hálózat?
- Attól, hogy felépül a VPN, az egyes telephelyek továbbra is a saját, helyi gateway-ükön keresztül érik el az Internetet, ugye?

A hibajelenség alapján gyanúsan valahol rossz a routeing, mindez megfejelve MTU problémával. (Az EoIP-en be van kapcsolva a clamp-tcp-mss?)

+1

Minek az EoIP? Sima route + GRE tunnel + IPsec ami kell neked. https://www.manitonetworks.com/mikrotik/2016/3/5/gre-over-ipsec-tunnels

Tán mert jóval egyszerűbb az EoIP-et összelőni mikin, és az is tud IpSec-et (automatikusan generálja a szabályokat), de nem kell hozzá mindenféle bűvészet. Na pl ezért szeretem az SSTP-t is, mert L2TP+Ipsec-cel csak szívás volt, pláne NAT-on át (tudom, az EoIP és IPIP is NAT mentes környezetbe jó), SSTP-hez meg csak tanúsítvány kell. Az viszont biztos, hogy az EoIP nagyon mimóza tud lenni. Ha nem kell bridge, akkor sokkal stabilabb az IPIP (Wlanon tapasztalva).
Ha nem az MTU a hibás, akkor IPIP-et is érdemes kipróbálni.

Egy L2 tunnel és egy L3 tunnel nem ugyanarra való. Eszembe nem jutna egy Ethernet broadcast domaint azért átbridzselni WAN fölött, mert azt könnyebb beállítani, mint egy L3 tunnelt.

Spórolsz vele beállításkor kétszer két percet, aztán funkcionálisan egy életen át szar lesz :)

Félreértés ne essék, az EoIP tunnelnek is megvan a maga létjogosultsága, de meglehetősen ritkán. Ha láttál már Ethernet forgalmat, akkor valószínűleg utolsóként akarod átpasszírozni egy (valószínűleg szűk és magas késleltetésű) WAN csövön.

+1 (+sok...)

Ok, de az IPIP-et se nehéz belőni és az már L3-as tunnel, vagy rosszul tudom? Én pl azért EoIP-oztam egyszer, hogy ne kelljen kétszer NAT-olni, de az biztos, hogy vicek-vacak lett, inkább a dupla NAT.

Az EOIP nem lehet a hiba oka önmagában, nekem is van 2 elég távoli hely összekötve vele mindenféle gond nélkül.

--
Tanya Csenöl az új csatorna

mtu +1