Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » [Решено] FreeBSD/racoon/IPSec/D-Link DFL-860E/WinSrv2012R2

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

nuclear2135

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
 
Есть очень непонятная проблема, помогите пожалуйста разобраться.
 
Есть виндовый домен, разбит на 4 сайта, конфигурация примерно такая:
 
Site 1: DC1 (Windows Server 2008 R2) - Switch L2 - Router (FreeBSD 9.2, racoon, IPSec) - Internet
 
Site 2: DC2 (Windows Server 2008 R2) - Switch L2 - Router (FreeBSD 9.2, racoon, IPSec) - Internet
 
Site 3: DC3 (Windows Server 2008 R2) - Switch L2 - Router (FreeBSD 9.2, racoon, IPSec) - Internet
 
Site 4: DC4 (Windows Server 2012 R2) - Switch L3 - Router (D-Link DFL-860E v2.40.04.08-21457) - Internet
 
Версия racoon:
#racoon -V
@(#)ipsec-tools 0.8.1 (http://ipsec-tools.sourceforge.net)
 
Compiled with:
- OpenSSL 0.9.8y 5 Feb 2013 (http://www.openssl.org/)
- IPv6 support
- Dead Peer Detection
- IKE fragmentation
- Hybrid authentication
- NAT Traversal
- Monotonic clock
 
Так же на FreeBSD используется файрвол PF.
 
Все сайты соединены с помощью IPSec по полносвязной топологии.
Между сайтами 1, 2 и 3 все работает без проблем.
Проблема есть с контроллером домена в сайте 4.
На DC4 есть расшаренные каталоги (любые: C$, SYSVOL или созданные руками).
Так вот, если с DC1, DC2 или DC3 пытаться скачать какой-либо файл из DC4, то это не получается. Появляется виндовое окно "Копирование" и процесс зависает на этапе "Оценка...". При этом залить файл на DC4 можно без проблем. То есть не качается только в одну сторону. Так же это зависит от размера файла. Если уменьшать размер файла, то примерно с 300 КБ и меньше файл все-таки можно скачать с DC4, но очень медленно (при этом скорость скачивания не более 10 КБ/с). Совсем маленькие файлы скачиваются нормально.
 
Помимо DC4 в сайте 4 есть еще 4 сервера с Windows Server 2012 R2, с них файлы скачиваются нормально.
Если из DC4 пытаться скачать файл с компьютера в той же локальной сети, то все нормально.
Более того, мой домашний роутер Mikrotik RB951G-2HnD так же соединен через IPSec с роутером D-Link DFL-860E в сайте 4, и с домашнего компьютера я спокойно скачиваю файлы из DC4 в обе стороны.
 
Тоесть в итоге имеем:
Домашний комп (Mikrotik) - (DFL-860E) - DC4 -- все работает
LAN - DC4 -- все работает
DC1, DC2, DC3 (FreeBSD, racoon) - (DFL-860E) - DC4 -- проблема
 
Я пробовал DC4 подключать к свичу разными сетевухами, даже внешнюю поставил - не помогает.  
В общем я даже не представляю где искать проблему. Локально все работает - значит коммутатор и DC4 скорее всего не причем. Из дома я файлы скачиваю - значит с роутером в сайте 4 и опять же самим DC4 тоже все нормально. Какая-то несовместимость между racoon, D-Link DFL-860E и DC4, или юниксовым файрволом PF? То же странно, т.к. с других серверов все скачивается нормально. Может DFS как-то влияет, т.к. в сайте 4 служба DFS установлена только на DC4?  
Причем заметил еще одну особенность: если DC4 перезагрузить, то сразу после перезагрузки все может работать, но после того, как чего-нибудь скачать из DC4, проблема снова возвращается.
 
Буду рад любой помощи.

Всего записей: 5 | Зарегистр. 14-01-2014 | Отправлено: 15:37 23-08-2014 | Исправлено: nuclear2135, 20:37 24-08-2014
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nuclear2135 Покажи ifconfig -a  Какой размер MTU на туннельном интерфейсе во Фре c racoon?  Попробуй уменьшить до 1400 или  1280.
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 21:23 23-08-2014 | Исправлено: ipmanyak, 21:24 23-08-2014
nuclear2135

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На FreeBSD нет тунельного интерфейса, IPSec работает в тунельном режиме.
em0 - это WAN-интерфейс.
 
Могу попробовать на нем уменьшить MTU. Но я думаю, если бы дело было в MTU, то вообще ничего не работало бы. А проблема только с одним сервером.
 
# ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether xx:xx:xx:xx:xx:xx
        inet xxx.xxx.xxx.xxx netmask 0xfffffff0 broadcast xxx.xxx.xxx.xxx
        inet xxx.xxx.xxx.xxx netmask 0xffffffff broadcast xxx.xxx.xxx.xxx
        inet xxx.xxx.xxx.xxx netmask 0xffffffff broadcast xxx.xxx.xxx.xxx
        inet xxx.xxx.xxx.xxx netmask 0xffffffff broadcast xxx.xxx.xxx.xxx
        inet xxx.xxx.xxx.xxx netmask 0xffffffff broadcast xxx.xxx.xxx.xxx
        inet xxx.xxx.xxx.xxx netmask 0xffffffff broadcast xxx.xxx.xxx.xxx
        inet xxx.xxx.xxx.xxx netmask 0xffffffff broadcast xxx.xxx.xxx.xxx
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether xx:xx:xx:xx:xx:xx
        inet xxx.xxx.xxx.xxx netmask 0xffffff00 broadcast xxx.xxx.xxx.xxx
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33152
pfsync0: flags=0<> metric 0 mtu 1500
        syncpeer: 0.0.0.0 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000

Всего записей: 5 | Зарегистр. 14-01-2014 | Отправлено: 01:08 24-08-2014
nuclear2135

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Похоже проблема решилась путем переконфигурирования IPSec на FreeBSD.
Изначально IPSec работал в туннельном режиме. При таком режиме в FreeBSD не создается туннельный интерфейс, и соответственно невозможно изменить никакие параметры, типа MTU.
 
Я сделал GRE-туннели и поверх них IPSec в транспортном режиме. Пока работает, и скорость возросла.
 
Может кому пригодится )

Всего записей: 5 | Зарегистр. 14-01-2014 | Отправлено: 20:35 24-08-2014
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » [Решено] FreeBSD/racoon/IPSec/D-Link DFL-860E/WinSrv2012R2


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru