Mikrotik IPSec a problémy s pořadím packetů

Alois

Řeším to i bez výsledku se supportem Mikrotiku, ale třeba je tu někdo, kdo to řešil a vyřešil bez nich nebo bude mít nějaký nápad, který pomůže. Jedná se mi o to, že mám mezi dvěma Mikrotiky IPSec, zcela logicky dochází k fragmentaci packetů, ovšem problém je, že protistrana s tím má problémy a podle Wiresharku na PC je vidět, že packety chodí ve špatném pořadí a některé se posílají znovu. Problém se projevuje na jedné mzdové aplikaci, kde padá spojení a vCenter špatně vidí ESXi ve vzdálené lokalitě a pokud si přes vCenter pustím webovou konzoli, tak ta se vůbec nezobrazí (díky tomu jsem si mohl najít i maximální funkční MTU, které je třeba nastavit, aby to fungovalo korektně). Jakmile snížím MTU na vCenter nebo problémovém PC, tak to funguje normálně.
Jenže donedávna tam běžela podobná konfigurace jen na slabších Mikroticích a na starším ROS a zcela bez problémů a nemuselo se vrtat do MTU, prostě vše bylo OK. Bohužel na nových Mikroticích nemůžu udělat tak hluboký downgrade, abych problém vyřešil. Nenapadá někoho, co bych mohl ještě zkusit zkontrolovat nebo třeba nastavit, aby se to spravilo? Teď tam běží nějaká beta 7.20 a ani ta to neřeší.
Ještě pár upřesnění, funkční konfigurace byla RB1100AHx4 a 4011 s ROS 7.6. Nefuknční je CCR2004 a CCR2116 s ROS 7.16 a cokoliv výš až po 7.20. Jeden Mikrotik dělá i firewall, druhý je za NATem a dělá jen VPN. Je jedno, jestli sestavím IPSec a nad tím nějaký tunel (EoIP, GRE, IPIP) nebo přímo tunel se zapnutým IPSec, chová se to pořád stejně blbě. Nikde není zapnutý QoS nebo nějaká mangle pravidla, jen základní input/output/forward/nat. Pokud bych měl na první pohled nějakou zásadní chybu v konfiguraci, tak by to asi viděli ze supout.rif, který jsem jim vygeneroval na obou Mikroticích. Pro další test jsem vedle udělal OpenVPN tunel, nad něj dal EoIP a fragmentace packetů je v pořádku. Mně z toho vychází, že po verzi 7.6 dojebali IPSec, ale oprava je celkem dost v nedohlednu. Nebo jsem něco dojebal já a třeba někoho napadne, co bych měl zkontrolovat nebo nastavit.
Předem díky za jakoukoliv radu, třeba něco pomůže.

coitus

Nie celkom som pochopil v com je problem v MTU alebo v poradi packetov. MTU sa riesi pravidlom v mangle, poradie bol problem u ccr1036 ked to prechadzalo cez vela jadier, ale neviem ako ten problem bol/nebol rieseny. Ja evidujem jediny problem u aktualneho ROS ipsec a to kratky vypadok (asi 2s) pri zmene klucov. Skus sa este okrem pravidla v mangle pohrat zo zapnutim contrack. /ip firewall connection tracking set enabled=yes
/ip firewall mangle
add action=change-mss chain=forward comment="change mss" new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn

Alois

coitus Problém je, že pokud je nižší MTU a packety se nefragmentují, tak to funguje. Problém je u specifických služeb s příznakem DF, kdy fragmentovaný packet dorazí ve špatném pořadí a některé packety se posílají znovu a v tu chvíli služba přestává fungovat. Dobře je to vidět ve Wiresharku.
Nefuguje snížení MTU na úrovni tunelu, ale musím ho snížit na stroji. Nepomůže ani to mangle pravidlo.
Contrack bylo na jedné straně zapnuté a na jedné ne. Dám vědět, jestli zapnutí pomohlo.

EDIT: Tak chvíli to vypadalo nadějně, ale bohužel to nepomohlo.

dan_24

pokud je paket prilis velky, nez aby se vesel do MTU interfacu vc. IPSEC headeru, pak ho nejspise musi fragmentovat, tj. rozdeli 1 IP paket do vice ipsec paketu, a pak se muze stat, ze tail fragmentu prijde drive nez head fragmentu a jsi v pr...

O to vice, pokud nekde po ceste je napr. ECMP, coz je v internetu normalni, a vzhledem k tomu, ze ipsec ESP paket nema v headeru porty, nemusi dochazet ke konzistentnimu rozkladani napric ECMP a muze snadno dochazet k packet reorderingu.

Mozna by stalo za to (pokud tomu tak neni) pouzit NAT-Traversal, kdy se bali provoz do UDP a tim padem existuje pro ECMP cely tuple src/dst ip a src/dst port.

PS: neni to navod, jen smer ktery bych proveroval

Alois

NAT Traversal je na obou stranách zapnutý. Škoda, bylo by super, kdyby se to podařilo takto jednoduše vyřešit.

dan_24

Nicmene jak psal kolega prede mnou, nebylo by na skodu snizit v tcp mss, tim padem by ipsec nemusel fragmentovat a nemusel by se stavat reordering. Pokud se ale stava reordering i pri beznem provozu, linka asi nestoji za nic.

5nik

Nepoužíváte Fasttrack? Nebo máte nastavené vyjímky z Fasttracku pro IPsec provoz?

coitus

tcp stack v linuxe (mikrotik je linux) ma ciastocnu moznost opravy packet misorder v ramci receive bufferu. Tak pokial si presvedceny ze problem je misorder tak na oboch stranach zapni conntrack na yes a zaskrtni loose tcp tracking. Samozrejme ako tu pisal kolega fasttrack treba uplne vypnut. Vo firewalle zakaz pravidlo drop invalid connection lebo firewall moze vyhodnotit misorder ako invalid a zahadzovat. Potom by som rebootol obe strany a otestoval.

Alois

Díky za tipy, tohle vypadá nadějně. Zatím jsem vypnul drop invalid, co je zajímavý, tak na straně, kde FW dělá i IPSec jich bylo 0, ale na druhé straně, kde IPSec přes router prochází, bylo několik stovek zaznamenaných packetů, což by mohlo být ono.
Přikládám kousek komunikace, když ten problém navodím, takto to určitě vypadat nemá a jedná se o stovky packetů:

EDIT: Fasttrack je od začátku vypnutý. Conntrack ještě zkusím. Ale musím opatrně, vzdálenost mezi routery je 300km a každá chybka může být krajně nepříjemná. A ještě jeden dotaz ke conntrack, mám ho zapnout na VPN stroji nebo na FW, přes který ta komunikace prochází?

EDIT2: Tak drop invalid do komunikace nezasahuje.

Alois

Jen krátké shrnutí, fasttrack je všude vypnutý, 2x jsem kontroloval. Conntrack je automaticky zapnutý na routerech, pro jistotu jsem přepnul z auto na yes. Na VPN stroji je vypnutý, když přepnu na yes, tak se při zapnutém Wiresharku citelně sníží počet chyb. Ale ta komunikace přesto padne. Bohužel restart těch routerů teď nemůžu udělat, ale ještě zkusím i to.
Každopádně k jedné drobné změně dojde, jakmile je na VPN stroji zapnutý conntrack, tak v nepravidelných intervalech v řádu minut padá Winbox na ten vzdálený stroj.
Už jsem odhodlaný koupit druhý CCR2004 a zkusit ho dát na vzdálenou lokalitu, navíc by mohlo jít udělat downgrade na dostatečně starý ROS, kde se tato chyba nevyskytuje. V mezičase asi zkusím udělat na linuxu IPsec mezi lokalitami a tím ověřit, že chyba je skutečně v Mikrotiku.

pelirob

Nejsem specialista síťař, ale mám dojem, že to nejspíš u Mikrotiku "bude vlastnost" , která je zakopaná někde hluboko...

Vzpomínám si, když jsme kdysi jednali s velkým telco operátorem o MPSL přípojce někam, kde oni neměli nic a my ano, tak hned po požadavku na správnou velikost MTU byl další požadavek, že nikde po cestě nesmí! být žádný 60 GHz Mikrotik, protože mají Wiresharkem ověřeno, že přehazuje pořadí paketů....
Jestli se nepletu, tak je to dva, možná už i tři roky zpátky...

Alois

Kdyby OpenVPN na stejné trase a na stejných Mikroticích nefungovala bez problémů, tak bych nechal ISP prověřit trasu. Ale v tomto případě je problém nejspíš v ROS 7.16+, na starším ROS 7.6 téměř stejně nastavený IPSec (nebylo tam PSK, ale certifikáty) fungoval normálně. Bohužel u CCR2116 se nedostanu níž než na 7.16, proto uvažuju o výměně za CCR2004, kde bych se mohl dostat na dostatečně starou verzi, kde to opět bude fungovat normálně a počkat, až to opraví.

coitus

Alois OpenVPN protokol tcp alebo udp?

Alois

Zcela záměrně jsem zvolil UDP, aby byly podmínky co nejbližší IPsec.