Size: a a a

2020 June 10

MY

Maksim Yakovlev in MikrotikRus
У вас явно что-то пошло совсем совсем не так, раз роутер думает что получает пакеты со своим адресом
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
Проверьте в динамике
/ip address print

на клиенте
Всё верно там.
16 D 10.201.250.1/32    10.201.250.254  openvpn
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
У вас явно что-то пошло совсем совсем не так, раз роутер думает что получает пакеты со своим адресом
Ну у меня везде по дефолту стоит 10.0.0.0/8, т.е. никаких фильтраций.
источник

МФ

Максим Фадин... in MikrotikRus
Кажется нашёл.
источник

МФ

Максим Фадин... in MikrotikRus
С этой миграцией все сети перетасовались.
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
У вас явно что-то пошло совсем совсем не так, раз роутер думает что получает пакеты со своим адресом
Эту ошибку убрал вроде, данная подсеть использовалась уже локально, забыл подчистить.
источник

МФ

Максим Фадин... in MikrotikRus
А для максимально быстрой перестройки маршрута, что бы ПО отвалится не успело, что можно сделать из тюнинга?
BFD включить например?
источник

МФ

Максим Фадин... in MikrotikRus
Например у нас упала связность между узлами, всё пошло через центр, но это произойдёт только через пол минуты-минуту.
источник

MY

Maksim Yakovlev in MikrotikRus
В вашем случае только таймеры самого ovpn
источник

MY

Maksim Yakovlev in MikrotikRus
КРАЙНЕ не рекомендую пользовать bfd поверх tcp туннелей, это все равно что просить вселенную о проблемах.
Если уж получилось так что вы застряли с ovpn как решением, лучше потрогайте keepalive на сервере/клиенте, меньше проблем будет
источник

MY

Maksim Yakovlev in MikrotikRus
Ну и obligatory note: ovpn на тиках плохо, ovpn для site2site где угодно тоже не очень, ospf поверх интернет туннелей - зло
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
КРАЙНЕ не рекомендую пользовать bfd поверх tcp туннелей, это все равно что просить вселенную о проблемах.
Если уж получилось так что вы застряли с ovpn как решением, лучше потрогайте keepalive на сервере/клиенте, меньше проблем будет
2-3 секунды ставить таймаут что ли?
источник

MY

Maksim Yakovlev in MikrotikRus
Максим Фадин
2-3 секунды ставить таймаут что ли?
Думаю что минимально 10 секунд
источник

MY

Maksim Yakovlev in MikrotikRus
Меньше наверное опасно
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
Ну и obligatory note: ovpn на тиках плохо, ovpn для site2site где угодно тоже не очень, ospf поверх интернет туннелей - зло
Ну что поделать, OpenVPN обеспечивает хорошее шифрование из коробки без танцев с бубном)
Ну и без тунелей никак.
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
Меньше наверное опасно
Клиенты завалят проц?
источник

MY

Maksim Yakovlev in MikrotikRus
Максим Фадин
Ну что поделать, OpenVPN обеспечивает хорошее шифрование из коробки без танцев с бубном)
Ну и без тунелей никак.
Ipsec это проще чем кажется :)
Разберитесь в теме один раз, и вам никогда не захочется назад
источник

MY

Maksim Yakovlev in MikrotikRus
Максим Фадин
Клиенты завалят проц?
Скорее приятные особенности местного планировщика и кода самого ovpn. Может просто забыть отвечать при наличии сколь либо серьезного трафика
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
Скорее приятные особенности местного планировщика и кода самого ovpn. Может просто забыть отвечать при наличии сколь либо серьезного трафика
Ну на RB951 у меня несколько клиентов вешают проц здорово, когда все одновременно пытаются подключится, и так по кругу)
источник

МФ

Максим Фадин... in MikrotikRus
Maksim Yakovlev
Ipsec это проще чем кажется :)
Разберитесь в теме один раз, и вам никогда не захочется назад
По дефолту можно оставить, указав лишь пароль в L2TP?
источник