Как настроить стабильный доступ к сетевым ресурсам за VPNом Mikrotik?

Question

[Антон]

Приветствую!
Есть такая проблема: в центральном и удаленном офисе стояли старые околодохлые Зуксели как шлюзы. Было принятно решение заменить их на 951ые микротики.
В центральном офисе стоит серверная группа с файлшарой. AD, 1с с SQL. Требовалось подключить удаленный офис по ВПН для доступа к сетевым ресурсам.
Настроил в центральном офисе L2TP сервер на микротике без ipsec. В удаленном офисе был настроен микрот на подключение к этому серверу.
Оба микрота настроены плюс минус одинаково. Доступ в инет, DHCP сервер на свою подсеть, маршруты в соседнюю сетку.
По началу обе сетки шуршали нормально. Спустя день, в офисе начались проблемы с загрузкой страниц (несколько секунд висит "определение хоста" при открытии страниц), а в удаленном офисе рандомно отваливается доступ у пользователей к сетевым ресурсам и дискам. Включение отключение интерфейса в винде на какое-то время решает проблему, но потом эта хрень повторяется.
Перерыл много форумов, ничего прям такого же не нашел.
Может сталкивался кто с подобной проблемой? Или хотя бы предложит вариант куда копать.

Comments

[Дмитрий]

Какая загрузка процессора в проблемные моменты?

[Валентин]

Так даже диагностики системной никакой не проводили? Ну тогда ставьте на мониторинг по SNMP Загрузку сетевых интерфейсов, Память и CPU. Смотрите отклонения. Мало - ставьте netflow и наблюдайте дальше. Ещё дальше - зеркалируйте весь трафик на компьютер с wireshark/tcpdump. Правда от таких манипуляций мыльница скорее всего помрет. Да и l2tp как бы не лучший вариант, GRE лучше и сточки зрения нагрузки на систему, и для мониторинга трафика.

[Антон]

Дмитрий, среднее значение 3 % у клиента, 6 у сервера

[Антон]

Валентин, как только начались пляски в сети - цепанул на забикс оба микрота, начал наблюдать. Никаких отклонений не было. До wireshark, netflow и tcpdump вчера не добрался, ибо было уже лениво и хотелось домой)

Answer 1

[Антон]

На свежую голову утром сел разбираться.
Нашел на одном из серверов запущенный DHCP сервер, сделанный еще каким то предыдущим админом. С зукселями видимо как то уживался, ибо дхцп был запущен на каждом зукселе. Отключение этого сервера вроде как решило обе проблемы. Компы в удаленной сети начали нормально ходить в основную сеть, загрузка страниц работает так, как должна.
Всем спасибо!

Answer 2

[nick56reg]

Копать в сторону IP-Firewall-Filter Rules
Можно попробовать поиграться со значениями MTU на L2tp-интерфейсах

Answer 3

[MityaevMaxim]

А Вы смелый, гонять тонну трафика в туннеле.
З.Ы. так никто не делает. нужна работа с шарами? RDP.

Comments

[Антон]

Пока надо так. Терминал для пользователей в процессе.

Answer 4

[younghacker]

Картинка - сотни слов дороже!!!

Включение отключение интерфейса в винде на какое-то время решает проблему, но потом эта хрень повторяется.

Какое отношение интерфейс винды имеет к туннелю?

Какая логика/схема маршрутизации? Default gate у микротиков - два? У каждого свой?

Что происходит на микротиках в плане CPU/RAM/traffic/количество сессий ?
Что происходит с пингом из офисных сетей в инет и на внешний IP противоположного офиса?
А что с пингом на оба внешних IP из интернета?

Comments

[Антон]

Решение проблемы выше написал. Мешал сторонний дхцп сервер