PfSense - mikrotik ipsec потеря пакетов
-
Есть сервер, на нём поднят PfSense 2.5.1-RELEASE. Есть несколько удаленных офисов, подключенных через ipsec подключение. Со стороны офисов стоят mikrotik-и Везде настроенные одинаковые подключения, IKEv1, 3DES, MD5. Во всех офисах проблем нет, кроме одного. При пинге на подсеть за pfSenes теряется 9-12 процентов пакетов. При этом между офисами никаких проблем нет. Куда копать?
-
@rodley
Здр
Я бы лично начал поиск так
У PF есть такой интерфейс enc0 - используя его можно смотреть , какие пакеты уходят в туннель
Таким образом , воспользовавшись tcpdump (packet capture ) можно увидеть , что происходит в Вашем случае
Первый шаг
tcpdump -netti enc0 icmp and host 192.168.5.9
Второй шаг
tcpdump -netti имя_wan_интерфейса esp and host ip_адрес_проблемного_офисаЗапустив ping на удаленной стороне , можно увидеть , что прошло через туннель , и сколько пакетов ушло в сторону проблемного офиса и обратно
А дальше уже смотреть по результатамPS. в канале связи уверены ? Если запустить ping шлюза удаленного офиса со стороны PF ( не туннель ) будет ли потеря пакетов ?
-
@konstanti said in PfSense - mikrotik ipsec потеря пакетов:
@rodley
Здр
Я бы лично начал поиск так
У PF есть такой интерфейс enc0 - используя его можно смотреть , какие пакеты уходят в туннель
Таким образом , воспользовавшись tcpdump (packet capture ) можно увидеть , что происходит в Вашем случае
PS. в канале связи уверены ? Если запустить ping шлюза удаленного офиса со стороны PF ( не туннель ) будет ли потеря пакетов ?
Вот в том то и дело, что когда я пингую WAN PF со стороны офиса - никаких проблем нет, пинг стабильный, пакеты не теряются, то же самое, когда пингую wan офиса со стороны PF. Т.е. проблема именно в тоннеле. -
@rodley
Если в канале связи уверены , то попробуйте сделать , как я написал
и все увидите , как бегают пакетики ( если уверены , что в туннеле проблемы ) -
Добрый
@rodley
Попробуйте mtu\ mss в сторону уменьшения покрутить на ОБОИХ концах туннеля.
Если дело в этом окажется. то размеры mtu\ mss прийдется менять на всех ваших впн-ах (оба конца).Зы. Простой тест:
На вин-машине за БЕСПРОБЛЕМНЫМ микротом выполните:ping -l 1472 -f -t 1.1.1.1
После эту же команду на вин-машине за ПРОБЛЕМНЫМ микротом.
И сравните выхлопы.