Аномальный ipsec между cisco pix и RB1100

Тема в разделе "Общий форум", создана пользователем LMA, 5 фев 2018.

  1. LMA

    LMA Участник

    Всем привет.
    Может кто с такой темой сталкивался, в двух словах:
    Настроил туннельный ipsec между cisco pix и mikrotik RB1100AHx4 (6.40.5), для взаимодействия телефонных подсетей на двух площадках. На обоих сторонах пишет, что все норм, я пингаю устройства находящиеся в удаленном офисе с сети центрально офиса и наоборот все так же пингается, но на веб интерфейс устройств в удаленном офисе зайти из центрального не могу, в connectiontracker при попытке соединений пишет tcp_state либо syn_send, либо syn_received, а если wireshark смотреть из сети центрального офиса, видна потеря пакетов (tcp retransmission).
     
  2. Перейдите на 6.41.1 ROS. Расширенные логи Микротика и cisco pix чисты ?
     
  3. LMA

    LMA Участник

    Тема обновы микротика стояла, но я побаиваюсь, что конфиг как то изменится, после обновы (у меня был такой случай, когда обновлял в одном офисе микрот, и железка сама разобрала свитч, сделанный на свитч-чипе, сделала бридж, и загнала интерфейсы из свитч-чипа в этот бридж, слышал, что у людей были проблемы с vlan после одной из последних обнов).
    А в логах все норм. При том, что данный микрот является центром топологии, к нему точно так же через ipsec подключены несколько удаленных подсеток, шлюзовое оборудование в удаленных точках mikrotik, cisco и даже sonicwall firewall, все работает как часы, а тут вроде бы рядовая задача превратилась в какой то непонятный геморрой.

    Попробую сегодня обновить микрот.
     
  4. При переходе на 6.41 как раз это и происходит что вы описали )
    Это так называемый
    Bridge Hardware Offloading
    можно тогда на bugfix ветку перейти 6/39/3, если не хотите рисковать
     
  5. LMA

    LMA Участник

    Проблему решил.
    Там за пиксом очень хитро маршрутизация была настроена и было множество различных acl, вообщем трафик резался со стороны пикса.
    За отклик спасибо!
     
    Денис Друженков нравится это.