klink0v (klink0v) wrote,
klink0v
klink0v

Про OpenVPN в Mikrotik

Немного про особенности OpenVPN-строения в Mikrotik-ах и прочих RouterBoard.


  1. Mikrotik плевать хотел на сроки валидности X509-сертификатов. Если оный даже и протух, никто ничего не заметит.

  2. Если пытаться делать из Mikrotik-а OpenVPN-сервер, то про CRL (списки отзыва сертификатов) можно забыть.

  3. Поддержку OpenVPN поверх UDP в микротиках так и не сделали, хоть и обещают уже очень давно.

  4. Mikrotik плевать хотел на параметр "Keep-Alive". Поэтому если с другой стороны такая настройка присутствует, то тоннель будет постоянно разваливаться. В качестве костыля aka "workaround" на микротике можно задействовать Netwatch в сторону внутреннего ip-адреса сервера.

  5. Если параметры тоннеля (внутренний ip, маршруты) спускаются на микротик с сервера, то вопреки документации в директиве "ifconfig-push" вторым параметром нужно указывать внутренний IP-адрес сервера, а вовсе не маску подсети. Причем, это справедливо как для режима "topology 252", так и для режима "topology subnet". Баг это или фича — непонятно.

И ещё два камня в огород микротиков.


  • Если мы организуем на его базе IPSec-тоннель поверх достаточно шустрого линка (например, 100 МБит/с), то с ростом скорости передачи данных растёт и загрузка процессора Mikrotik-а. И когда она достигнет некоторой величины, тоннель развалится. Загрузка процессора упадёт, через какое-то время тоннель восстановится. После чего цикл повторится.

  • Не существует никакого относительно простого способа корректно клонировать типовую конфигурацию с одного микротика на другой. Потому что бинарный бэкап содержит в себе привязку к железкам (в частности, MAC-адресам). А в текстовые скрипты некоторая информация не экспортируется (например, корневые X509-сертификаты). А то, что экспортируется, потом очень тяжело импортировать: при малейшем чихе импорт вываливается с ошибкой и процедура аварийно завершается "на полпути".

  • Невозможно сделать Split DNS: одни зоны форвардить на одни сервера, другие — на другие. Это представляет собой реальную попа-боль, если в организации имеются Windows-домены и удалённые филиалы/офисы.

В-общем, как бы там производитель себя не бил пяткой в грудь, предлагаемые им решения никаким боком нельзя отнести к Enterprise. Достоинство только одно — цена. По сравнению с каким-нибудь RouterBoard RB951G для ограниченного круга задач всякие Cisco и Juniper нервно курят в сторонке. Но если бы у меня был условно-неограниченный бюджет, то я бы, конечно, выбрал последний вариант для построения сети.
Tags: mikrotik, администрирование, железо
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 10 comments