PFsense OVPN+L2TP нестабильный OVPN тунель



  • День добрый. Может кто сталкивался и там тупо где нибудь галочку какую снять или поставить надо. Стоит гейтвей на пфсенсе и к нему подключаются по овпн филиалы. несколько филиалов по овпн не запустились, поэтому под них сделали л2тп туннель и вроде все подключилось и заработало вчера. а сегодня когда появилась нагрузка стал каждые полчаса отваливаться овпн туннель с основным офисом и парой филиалов. и сам пфсенсе стал подлагивать в вебуи. в чем может быть проблема/глюк ?



  • Доброго.

    несколько филиалов по овпн не запустились

    Извините, но нужно оч. "постараться", чтобы не поднять на пф опенвпн. В Сети куча мануалов как в текстово-картиночном, так и в виде видео.
    А если еще и логирование вкл. на пф, то проблемы с опенвпн решаются с вероятностью 99.99%

    в чем может быть проблема/глюк ?

    "Доктор, у меня болит голова. Что это может быть?"
    Вкл. логирование на пф и смотрите там.



  • ну я с пфом познакомился 3 дня назад. больше по микротикам. как бы поднялся там и л2тп и овпн. но пока на овпн не было нагрузки. т.е. на выходных тунели висели и все было ок. сегодня т.е. в пон как только начали работать люди овпн стал постоянно падать пока не отключил л2тп. где можно помотреть логи которые показывают что там между собой режется ?



  • @olegas Здр
    А почему нельзя отказаться от l2tp , который в понимании pf не рекомендуется использовать в качестве соединения site-to-site ? И настроить IPSEC site-to-site соединение , если openvpn туннель поднять не получается ? Кстати , по какой причине не получается ?



  • что то с тунелем на 3х мт, не работает,(там лте модемы и динамические ип) а надо быстро за выходные чтоб сегодня уже заработало. плюс л2тп легче овпна и там за мт стоят принтеры на которых надо из офиса отослать док на печать и с него отсканировать на сервер через адрес бук. до того как паапдейтили пфсенсе на старой версии были запущены все пптп тунели и никто не знал забот т.к. им как бы пофиг белый ип или нет, а в новой версии пптп нет а на л2тп все ок с дин ип



  • @olegas said in PFsense OVPN+L2TP нестабильный OVPN тунель:

    а сегодня когда появилась нагрузка стал каждые полчаса отваливаться овпн туннель с основным офисом и парой филиалов.

    А какова при нагрузке туннеля загрузка CPU на pfSense и устройствах филиалов?

    @olegas said in PFsense OVPN+L2TP нестабильный OVPN тунель:

    где можно помотреть логи которые показывают что там между собой режется ?

    Status-System Logs-PPP
    

    @konstanti said in PFsense OVPN+L2TP нестабильный OVPN тунель:

    И настроить IPSEC site-to-site соединение ,

    Похоже, у ТС не во всех филиалах "белые" адреса.

    @olegas , все же разберитесь с OVPN. Использую связку OVPN на pfSense плюс Микротики в филиалах котрый год.



  • Доброго.

    @olegas

    ну я с пфом познакомился 3 дня назад

    В закладки https://www.netgate.com/docs/pfsense/book/

    У вас адресация сетей головного офиса и филиалов не пересекается? Иначе можно искать почему оно не работает до укакивания.



  • https://forum.mikrotik.com/viewtopic.php?t=124784 тут ссылка на аналогичную проблему. и эта проблема появилась сного после правления уязвимости в МТ когда их ломали через эксплойт. специально обновил фирмвар на МТ с 6.37.хх на 6.43.хх и смотрел роуты. в старой все ок. в новой версии баг с маской и роутом. будем ждать пока исправят



  • @olegas Микротиковцы смотрят на Open VPN как на недостойную внимания мелочь.
    Не удивлюсь, если поддержка Open VPN с выходом RouterOS 7 вообще прекратится. Хотя и обещают обратное - UDP, LZO, HMAC и прочее.