7 Mar
2015
7 Mar
'15
9:16 a.m.
Ahoj všem,
omlouvám se, že píši dotaz, který se zcela netýká VPSek. Vím, že
sdružení používá Mikrotiky a VPN pro propojení lokalit Brno-Praha, tak
mě napadlo, že bych zde mohl dostat nějakou dobrou radu :-)
Před nedávnem u mne vyvstala potřeba vzdáleného přístupu do několika
lokalit - konkrétně prodejen, kam jsme nasazovali počítače. Jako
platformu jsem si zvolil Mikrotik a IPSec tunely, které mi měly umožnit
jednoduchý přístup do lokality. Mezi prodejnami neprobíhá stálá
komunikace, přístup potřebuji jen v případě servisního zásahu.
Vše jsem si nastudoval, patrně i dobře nastavil, jelikož mi tunely
fungují. Tedy "fungují" - když jsem je nastavil a spustil, vše fungovalo
bez problémů. Po nějaké době (asi několik dní, přesně nevím) se však
tunel nepodaří navázat. V logu mi to vyhodí error, že Phase 1 vyhučel na
timeout. Nepomůže absolutně nic (vypnutí a zapnutí IPSecu, flush klíčů
na obou stranách), kromě kompletního restartu obou routerů. Poté se vše
zase spojí a funguje.
Snažil jsem se něco vygooglit, ale velmi špatně se mi definuje problém
"za několik dní to přestane fungovat" :-D Navíc v logu IPSecu jsem
nenašel nic podezřelého - odešlou se nějaké pakety, snaží se navázat
komunikace, timeout...
Chtěl jsem se proto zeptat, sdružení na Mikroticích používá čistě IPSec
nebo je v něm ještě nastavená nějaká další vrstva (např. GRE)? Říkal
jsem si, že by třeba pomohlo, kdyby se tunely udělaly "persistentní",
tzn. že by se při nepoužívání nerozpadly.
Pokukuji ještě po možnosti použít místo IPSecu OpenVPN, které Mikrotik
také umí. Ale reakce na fórech jsou rozporuplné a tak nevím, zda se do
toho pouštět...
Díky za případné reakce.
Honza
7 Mar
7 Mar
9:36 a.m.
Ahoj,
Ja osobne na soukromy mikrotiky lezu pres openvpn, ma to jiste nedostatky
(nejde udp mod, nektere prvky zabezpeceni navic to neumi, mam pocit ze
treba ta.key tomu nedas), ale furt mi to prijde pomer cena(cas)/bezpecnost
docela slusny :)
Nechavam to spojeni teda otevreny furt, trafficu to moc neudela, tak co ...
(mikrotik mam zasadne jako klient, server je vpska)
Ghor
On Mar 7, 2015 10:17 AM, Jan B. Kolář <janbivoj.kolar(a)zazen-nudu.cz> wrote:
Ahoj všem,
omlouvám se, že píši dotaz, který se zcela netýká VPSek. Vím, že sdružení
používá Mikrotiky a VPN pro propojení lokalit Brno-Praha, tak mě napadlo,
že bych zde mohl dostat nějakou dobrou radu :-)
Před nedávnem u mne vyvstala potřeba vzdáleného přístupu do několika
lokalit - konkrétně prodejen, kam jsme nasazovali počítače. Jako platformu
jsem si zvolil Mikrotik a IPSec tunely, které mi měly umožnit jednoduchý
přístup do lokality. Mezi prodejnami neprobíhá stálá komunikace, přístup
potřebuji jen v případě servisního zásahu.
Vše jsem si nastudoval, patrně i dobře nastavil, jelikož mi tunely
fungují. Tedy "fungují" - když jsem je nastavil a spustil, vše fungovalo
bez problémů. Po nějaké době (asi několik dní, přesně nevím) se však tunel
nepodaří navázat. V logu mi to vyhodí error, že Phase 1 vyhučel na timeout.
Nepomůže absolutně nic (vypnutí a zapnutí IPSecu, flush klíčů na obou
stranách), kromě kompletního restartu obou routerů. Poté se vše zase spojí
a funguje.
Snažil jsem se něco vygooglit, ale velmi špatně se mi definuje problém "za
několik dní to přestane fungovat" :-D Navíc v logu IPSecu jsem nenašel nic
podezřelého - odešlou se nějaké pakety, snaží se navázat komunikace,
timeout...
Chtěl jsem se proto zeptat, sdružení na Mikroticích používá čistě IPSec
nebo je v něm ještě nastavená nějaká další vrstva (např. GRE)? Říkal jsem
si, že by třeba pomohlo, kdyby se tunely udělaly "persistentní", tzn. že by
se při nepoužívání nerozpadly.
Pokukuji ještě po možnosti použít místo IPSecu OpenVPN, které Mikrotik
také umí. Ale reakce na fórech jsou rozporuplné a tak nevím, zda se do toho
pouštět...
Díky za případné reakce.
Honza
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
10:29 a.m.
Mas zapnutý DPD?
Odesláno z iPhonu
7. 3. 2015 v 10:16, Jan B. Kolář <janbivoj.kolar(a)zazen-nudu.cz>cz>:
Ahoj všem,
omlouvám se, že píši dotaz, který se zcela netýká VPSek. Vím, že sdružení používá
Mikrotiky a VPN pro propojení lokalit Brno-Praha, tak mě napadlo, že bych zde mohl dostat
nějakou dobrou radu :-)
Před nedávnem u mne vyvstala potřeba vzdáleného přístupu do několika lokalit - konkrétně
prodejen, kam jsme nasazovali počítače. Jako platformu jsem si zvolil Mikrotik a IPSec
tunely, které mi měly umožnit jednoduchý přístup do lokality. Mezi prodejnami neprobíhá
stálá komunikace, přístup potřebuji jen v případě servisního zásahu.
Vše jsem si nastudoval, patrně i dobře nastavil, jelikož mi tunely fungují. Tedy
"fungují" - když jsem je nastavil a spustil, vše fungovalo bez problémů. Po
nějaké době (asi několik dní, přesně nevím) se však tunel nepodaří navázat. V logu mi to
vyhodí error, že Phase 1 vyhučel na timeout. Nepomůže absolutně nic (vypnutí a zapnutí
IPSecu, flush klíčů na obou stranách), kromě kompletního restartu obou routerů. Poté se
vše zase spojí a funguje.
Snažil jsem se něco vygooglit, ale velmi špatně se mi definuje problém "za několik
dní to přestane fungovat" :-D Navíc v logu IPSecu jsem nenašel nic podezřelého -
odešlou se nějaké pakety, snaží se navázat komunikace, timeout...
Chtěl jsem se proto zeptat, sdružení na Mikroticích používá čistě IPSec nebo je v něm
ještě nastavená nějaká další vrstva (např. GRE)? Říkal jsem si, že by třeba pomohlo, kdyby
se tunely udělaly "persistentní", tzn. že by se při nepoužívání nerozpadly.
Pokukuji ještě po možnosti použít místo IPSecu OpenVPN, které Mikrotik také umí. Ale
reakce na fórech jsou rozporuplné a tak nevím, zda se do toho pouštět...
Díky za případné reakce.
Honza
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
9 Mar
9 Mar
9:22 a.m.
Ahoj,
děkuji za obě odpovědi. Omlouvám se, chytil jsem chřipku a tak jsem se k
e-mailu dokopal až teď.
Ano, DPD jsem nechal na defaultních nastaveních - DPD Interval 120s a
DPD Maximum Failures 5. Lifetime peeru je nastaven na 1d.
Konkrétní error který mám v logu (ipsec - error):
phase1 negotiation failed due to time up
31.xxx.xxx.xxx[500]<=>31.xxx.xxx.xxx[500] a02315138375be12:0000000000000000
Vyzkouším ten OpenVPN, server i klient na Mikrotiku. Uvidíme, alespoň se
zase něco nového naučím :-)
Honza
Dne 7.3.2015 v 11:29 Stanislav Petr napsal(a):
Mas zapnutý DPD?
Odesláno z iPhonu
7. 3. 2015 v 10:16, Jan B. Kolář <janbivoj.kolar(a)zazen-nudu.cz>cz>:
Ahoj všem,
omlouvám se, že píši dotaz, který se zcela netýká VPSek. Vím, že sdružení používá
Mikrotiky a VPN pro propojení lokalit Brno-Praha, tak mě napadlo, že bych zde mohl dostat
nějakou dobrou radu :-)
Před nedávnem u mne vyvstala potřeba vzdáleného přístupu do několika lokalit - konkrétně
prodejen, kam jsme nasazovali počítače. Jako platformu jsem si zvolil Mikrotik a IPSec
tunely, které mi měly umožnit jednoduchý přístup do lokality. Mezi prodejnami neprobíhá
stálá komunikace, přístup potřebuji jen v případě servisního zásahu.
Vše jsem si nastudoval, patrně i dobře nastavil, jelikož mi tunely fungují. Tedy
"fungují" - když jsem je nastavil a spustil, vše fungovalo bez problémů. Po
nějaké době (asi několik dní, přesně nevím) se však tunel nepodaří navázat. V logu mi to
vyhodí error, že Phase 1 vyhučel na timeout. Nepomůže absolutně nic (vypnutí a zapnutí
IPSecu, flush klíčů na obou stranách), kromě kompletního restartu obou routerů. Poté se
vše zase spojí a funguje.
Snažil jsem se něco vygooglit, ale velmi špatně se mi definuje problém "za několik
dní to přestane fungovat" :-D Navíc v logu IPSecu jsem nenašel nic podezřelého -
odešlou se nějaké pakety, snaží se navázat komunikace, timeout...
Chtěl jsem se proto zeptat, sdružení na Mikroticích používá čistě IPSec nebo je v něm
ještě nastavená nějaká další vrstva (např. GRE)? Říkal jsem si, že by třeba pomohlo, kdyby
se tunely udělaly "persistentní", tzn. že by se při nepoužívání nerozpadly.
Pokukuji ještě po možnosti použít místo IPSecu OpenVPN, které Mikrotik také umí. Ale
reakce na fórech jsou rozporuplné a tak nevím, zda se do toho pouštět...
Díky za případné reakce.
Honza
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
3576
days inactive
3578
days old
community-list@lists.vpsfree.cz
3 comments
3 participants
participants (3)
-
"Jan B. Kolář" -
Ghormoon -
Stanislav Petr