А что его обслуживать?

Добрый всем день.
Может кто сталкивался:

Есть железка Mikrotik RB1100AHx4 в серверной и удалённые филиалы с Mikrotik RB750Gr3.
На филиалы силами провайдера прокинуты l2 VLAN.

Задача:
Шифровать трафик и тут начинаются странные проблемы.
Изначально подняли openvpn на stable-прошивке. Но так как в этой прошивке реализовано только tcp, то периодически в филиалах пинги подскакивали до 600 и каждый раз в разных.
По отчётам от провайдера и zabbix - превышения трафика по тарифу нет.

Попытался перевести на udp и возникла другая проблема:
Видеонаблюдение, телефония и прочее, что работает напрямую по ip работает отлично, но ни один компьютер не может авторизоваться на контроллере домена. Пинги при этом ходят отлично.
Кто авторизовался до смены маршрутов - работает как обычно, kerberos получили и работают все внутренние ресурсы (Сетевые диски, RADIUS и т.д.).
Перезагрузка и всё, поломалось.

Сменил vpn на wireguard в прошивке 7.1 и оно поработало неделю без проблем.
После этого перезагрузили центральный роутер и та же проблема вернулась.

Правила NAT и Filter прописывал как на конкретные порты для AD, так и вообще для всех подсетей в Address list для UDP - не работает.

Куда его ещё можно пнуть?

Спасибо, почитаю

Beta-версия источник всех проблем. Скорее всего. Чем Вам классика GRE/IPSec не угодила?

Только сложностью настройки, но попробую сделать мануал для коллег. Спасибо.

Что там сложного?

А чо в 7.1 вайгард появился?

Да, туда же новое ядро линукса запихали, а оно там нативно

ну смотри, вот представь, нет платной админки на iredmail и половина, а то и больше функций сразу улетает в консоль, значит надо сажать на эти функции админа. А на корове я доменных админов сделал, посадил почти любого и через веб-интерфейс этот любой спокойно может рулить и спамом и белые\черные листы,fail2ban и логи красиво показываются с сортировкой, и парсингом и самое главное что особо ничего не сломает. Если чтото не работает он сразу видит где зависло письмо, а может и не зависло, а юзер его не видит, человек сразу имеет доступ и к ящику юзера и к настройкам. Когда много доменов и юзеров это удобно.

когда ты локаладмин понятно что можно сидеть вручную ковырять логи\конфиги

Это контейнеры)) и ведут они Себя порой непредсказуемо, логи снимаются черте как. Возникнут проблемы с обновлениями приклада

Проблемно будет масштабировать если заранее это не продумано

они снимаются ровно и по каждому контейнеру отдельно. Отдельно смотришь лог довекота, отдельно постфикс отдельно или вместе - выбираешь там сам.

А iredmail это просто постфикс упакованный в сборку в один скрипт

Дело ваше, я в продакшен такое бы не ставил

Ещё бы на кубер натянули и скейлинг накатили

там docker-compose и у тебя контейнеры отдельно, а volume-ы отдельно. Поэтому если надо место увенличить или перенести что-то куда-то то просто меняешь что нужно и перезапускаешь контейнер.

Контейнеры в прод, такое себе

ну мы с вами говорим а чем-то бесплатном :)

Iredmail бесплатный