h_rocky Zdravím, mám problém s IPSEC tunelem. Mám vytvořený tunel MT-MT. Tunel jsem vytvořil dle návodu. Tunel se vytvoří a vše se tváří že je ok. Na všechny prvky ve vzdálené site vidím - pingnu si na ně. Ale už se na ně nedostanu. Např. RDP nebo nějaká webová služba. Ale není to obecný problém. Na některé PC se dostanu a na některé nikoli (ale pingám na ně). Čím to může být?
h_rocky To by mi ale nefungovalo ale žádné připojení. Respektive, na PC1 se připojím, ale na PC2 už ne.
rolph Tady jsem občas mýval problém s velikostí MTU - potom třeba ping projde, ale větší pakety nikoliv. Občas to bývá podpořené fragmentací paketů.
hapi pokud neprojde plná velikost MTU, tak je špatně něco v sítový cestě a tedy chyba. Každopádně jestli se na jedno PC dostaneš a na druhý ne, tak to někde něco blokuje na 99% je to něco ve windowsech tak jak to tradičně bejvá. Taky to bejvá někdy nějakej antivirák. Typicky nový AVG po instalalci na PC ve většina přepadech zablokovalo dokonce i přístup samotnýho PC do netu což nechápu.
h_rocky Problém bude spíš s přenosy velkých paketů. Na co se mám podívat, respektive, kde může být chyba ?
h_rocky Ano, uvnitř sítě není problém. Zvláštní je to, že tunel je spojen. S tím není problém. Někdy funguje vše jak má a někdy funguje maximálně ping na PC (nepřipojím se RDP na stanice, servery, intranetové webové aplikace jsou nedostupné, atd ).
selic U tunelu v Mikrotiku je vetsinou potreba na spravnem interfacu zvolit volbu arp-proxy. Nevim jest-li je to neni potreba i pro IPSEC.
doktor No já mám udělaných pár tunelů, a aby to fungovalo, tak vše co jde do tunelu jsem musel maškarádovat, pak to fungovalo. Případně si zmenši MTU co jde do tunelu. chain=forward action=change-mss new-mss=1360 tcp-flags=syn protocol=tcp out-interface="Jméno tvého tunelu" tcp-mss=1361-65535
