-
Posts
16 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Alex R
-
-
Всеж таки интересно, чтож такого нашаманили в IPsec, что такая нестабильность полезла...
У меня два тоннеля все время висело, было все нормально, я часами работал по rdp, radmin, телефония, часами иногда на талефоне висел, ничего не рвалось, тут бы сразу заметно было. (
-
Да косяк яндекс браузера, через IE все норм
Ну все равно, той прошивки уже нет... (
-
Эмм
ну а я что написал?
При таком сохранении сохраняется pdf файл со скриншотом этой странички.
По крайней мере сейчас, раньше не пробовал.
Впрочем теперь то уже не важно, все равно прошивка другая...
-
А как сохранять?
Через веб морду в сист файлах если firmware сохранять он мне вообще сохраняет pdf с картинкой.
-
Новая информация, в общем оба тоннеля не работают нормально, постоянно связь пропадает даже на том который якобы работает, да он работает но когда работаешь по rdp например, все время прерывается соединение периодически на несколько секунд.
А для телефонии это вообще беда, можно сказать что и не работает....
А если отключить один тоннель вообще, то второй уже по другому начинает себя вести и в логах уже появляется то что с двумя поднятыми нету... бред какой то...
В общем подскажите, как вернуться на предыдущую прошивку?
-
Вернулся на 2.09.C.0.0-1 да как и было один тоннель валиться перестал.
Вот как мне вернуться на мою предыдущую, на которой оба работали. Да вообще вроде не было проблем на всех предыдущих на сколько я помню, ну по крайней мере таких, чтобы постоянно валилось.
Если к примеру от сюда https://help.keenetic.net/hc/ru/articles/214496025-Файлы-загрузки-для-Keenetic-Ultra-II
взять 2.08 то там изначально компонент IPsec отключен а просто так я понимаю без обновления его не включить, а обновляет он сразу на последнюю..
-
В общем по факту. Пингами смотрел
Оба тоннеля держатся около двух минут, восстановление происходит от 2 до 20 секунд, когда как, не одновременно оба, а немного в разное время.
В общем беда конечно, так невозможно работать (
-
Все время после поднятия тоннеля идет вот это:
ending retransmit 3 of request message ID 0, seq 3
Aug 25 19:06:29ipsec12[IKE] sending retransmit 3 of request message ID 0, seq 3
Aug 25 19:06:39ipsec12[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 25 19:06:40ipsec06[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 25 19:06:51ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3
Aug 25 19:06:51ipsec06[IKE] sending retransmit 5 of request message ID 0, seq 3
Aug 25 19:07:04ipsec12[IKE] sending retransmit 6 of request message ID 0, seq 3
Aug 25 19:07:04ipsec06[IKE] sending retransmit 6 of request message ID 0, seq 3
Aug 25 19:07:18ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3
Aug 25 19:07:19ipsec05[IKE] sending retransmit 7 of request message ID 0, seq 3
Aug 25 19:07:34ipsec06[IKE] sending retransmit 8 of request message ID 0, seq 3раньше такого не было...
-
Да уж судя по тому что там написано, как то боязно это ставить, нехватало чтобы еще и второй тоннель закосячил, он еще более важный
Ну да ладно.
Я правильно понял, что надо прошить через веб морду эту прошивку http://files.keenopt.ru/firmware/Keenetic_Ultra_II/2017-07-25/
И потом она уже автоматом обновится через обновление еще?
-
13 часа назад, Le ecureuil сказал:
Проверьте на последнем draft
Вот это извините не понял
self-test скинул.
-
Keenetic Ultra II
После недавнего обновления прошивки на 2.09.C.0.0-1 (если я ничего не пропустил то стояла предыдущая)
Стал постоянно рваться IPsec тоннель. Настройки ни на той стороне (DrayTek Vigor 2925) ни на моей не менял.
Вот что в журнале:ЦитатаIpSec::Configurator: crypto map "Test" is up.
Aug 24 18:54:37ndmIpSec::Configurator: reconnection for crypto map "Test" was cancelled.
Aug 24 18:54:37ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.
Aug 24 18:54:37ipsec14[CFG] received stroke: initiate 'Test'
Aug 24 18:54:37ndmIpSec::Configurator: crypto map "Test" initialized.
Aug 24 18:54:37ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Aug 24 18:54:37ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Aug 24 18:54:38ndmkernel: EIP93: build inbound ESP connection, (SPI=c61fd67a)
Aug 24 18:54:41ndmkernel: EIP93: build outbound ESP connection, (SPI=5d7d63bf)
Aug 24 18:54:45ipsec13[IKE] sending retransmit 1 of request message ID 1406107308, seq 1
Aug 24 18:54:54ipsec06[IKE] sending retransmit 2 of request message ID 1406107308, seq 1
Aug 24 18:55:04ipsec13[IKE] sending retransmit 3 of request message ID 1406107308, seq 1
Aug 24 18:55:14ipsec16[IKE] sending retransmit 4 of request message ID 1406107308, seq 1
Aug 24 18:55:26ipsec08[IKE] sending retransmit 5 of request message ID 1406107308, seq 1
Aug 24 18:55:39ipsec05[IKE] sending retransmit 6 of request message ID 1406107308, seq 1
Aug 24 18:55:53ipsec16[IKE] sending retransmit 7 of request message ID 1406107308, seq 1
Aug 24 18:56:09ipsec08[IKE] sending retransmit 8 of request message ID 1406107308, seq 1
Aug 24 18:56:26ipsec15[IKE] giving up after 8 retransmits
Aug 24 18:56:26ndmIpSec::Configurator: remote peer of crypto map "Test" is down.
Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Aug 24 18:56:26ndmIpSec::Configurator: fallback peer is not defined for crypto map "Test", retry.
Aug 24 18:56:26ndmIpSec::Configurator: schedule reconnect for crypto map "Test".
Aug 24 18:56:26ipsec15[IKE] sending DPD vendor ID
Aug 24 18:56:26ipsec15[IKE] sending FRAGMENTATION vendor ID
Aug 24 18:56:26ipsec15[IKE] sending NAT-T (RFC 3947) vendor ID
Aug 24 18:56:26ipsec15[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 24 18:56:26ipsec15[IKE] initiating Main Mode IKE_SA Test[103] to Удаленный IP
Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Aug 24 18:56:26ndmkernel: EIP93: release SPI c61fd67a
Aug 24 18:56:26ndmkernel: EIP93: release SPI 5d7d63bf
Aug 24 18:56:26ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Aug 24 18:56:27ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Aug 24 18:56:34ipsec16[IKE] sending retransmit 1 of request message ID 0, seq 1
Aug 24 18:56:42ndmIpSec::Configurator: reconnecting crypto map "Test".
Aug 24 18:56:43ipsec14[IKE] sending retransmit 2 of request message ID 0, seq 1
Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" shutdown started.
Aug 24 18:56:44ipsec09[CFG] received stroke: unroute 'Test'
Aug 24 18:56:44ipsec12[CFG] received stroke: terminate 'Test{*}'
Aug 24 18:56:44ipsec12[CFG] no CHILD_SA named 'Test' found
Aug 24 18:56:44ipsec06[CFG] received stroke: terminate 'Test
'
Aug 24 18:56:44ipsec16[IKE] destroying IKE_SA in state CONNECTING without notification
Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" shutdown complete.
Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Aug 24 18:56:45ipsec05[CFG] received stroke: initiate 'Test'
Aug 24 18:56:45ndmIpSec::Configurator: crypto map "Test" initialized.
Aug 24 18:56:45ipsec07[IKE] sending DPD vendor ID
Aug 24 18:56:45ipsec07[IKE] sending FRAGMENTATION vendor ID
Aug 24 18:56:45ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID
Aug 24 18:56:45ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 24 18:56:45ipsec07[IKE] initiating Main Mode IKE_SA Test[104] to Удаленный IP
Aug 24 18:56:53ipsec16[IKE] sending retransmit 1 of request message ID 0, seq 1
Aug 24 18:57:02ipsec14[IKE] sending retransmit 2 of request message ID 0, seq 1
Aug 24 18:57:12ipsec16[IKE] sending retransmit 3 of request message ID 0, seq 1
Aug 24 18:57:16ipsec07[IKE] received DPD vendor ID
Aug 24 18:57:16ipsec07[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Aug 24 18:57:16ipsec07[IKE] Удаленный IP is initiating a Main Mode IKE_SA
Aug 24 18:57:16ipsec07[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Aug 24 18:57:16ipsec07[CFG] configured proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Aug 24 18:57:16ipsec07[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Aug 24 18:57:16ipsec07[IKE] sending DPD vendor ID
Aug 24 18:57:16ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID
Aug 24 18:57:16ipsec14[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 24 18:57:16ipsec15[CFG] looking for pre-shared key peer configs matching Мой IP...Удаленный IP[Удаленный IP]
Aug 24 18:57:16ipsec15[CFG] selected peer config "Test"
Aug 24 18:57:16ipsec15[IKE] IKE_SA Test[105] established between Мой IP[Мой IP]...Удаленный IP[Удаленный IP]
Aug 24 18:57:16ipsec15[IKE] scheduling reauthentication in 86370s
Aug 24 18:57:16ipsec15[IKE] maximum IKE_SA lifetime 86390s
Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 0.
Aug 24 18:57:16ipsec08[CFG] received proposals: ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ
Aug 24 18:57:16ipsec08[CFG] configured proposals: ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ
Aug 24 18:57:16ipsec08[CFG] selected proposal: ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ
Aug 24 18:57:16ipsec08[IKE] received 0 lifebytes, configured 21474836480
Aug 24 18:57:16ipsec12[IKE] CHILD_SA Test{74} established with SPIs c0d0a843_i 5d7d63c1_o and TS 192.168.140.0/24 === 192.168.6.0/24
Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" is up.
Aug 24 18:57:16ndmIpSec::Configurator: reconnection for crypto map "Test" was cancelled.
Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.
Aug 24 18:57:16ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Aug 24 18:57:16ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Aug 24 18:57:18ndmkernel: EIP93: build outbound ESP connection, (SPI=5d7d63c1)
Aug 24 18:57:18ndmkernel: EIP93: build inbound ESP connection, (SPI=c0d0a843)
Aug 24 18:57:22ipsec07[IKE] sending retransmit 4 of request message ID 0, seq 1
Aug 24 18:57:34ipsec16[IKE] sending retransmit 5 of request message ID 0, seq 1
И так по кругу. Время жизни тоннеля минуты 3 примерно.
Постоянно идет вот это:ЦитатаAug 24 18:54:45ipsec13[IKE] sending retransmit 1 of request message ID 1406107308, seq 1
Aug 24 18:54:54ipsec06[IKE] sending retransmit 2 of request message ID 1406107308, seq 1
Aug 24 18:55:04ipsec13[IKE] sending retransmit 3 of request message ID 1406107308, seq 1
Aug 24 18:55:14ipsec16[IKE] sending retransmit 4 of request message ID 1406107308, seq 1
Aug 24 18:55:26ipsec08[IKE] sending retransmit 5 of request message ID 1406107308, seq 1
Aug 24 18:55:39ipsec05[IKE] sending retransmit 6 of request message ID 1406107308, seq 1
Aug 24 18:55:53ipsec16[IKE] sending retransmit 7 of request message ID 1406107308, seq 1
Aug 24 18:56:09ipsec08[IKE] sending retransmit 8 of request message ID 1406107308, seq 1
Aug 24 18:56:26ipsec15[IKE] giving up after 8 retransmits
Aug 24 18:56:26ndmIpSec::Configurator: remote peer of crypto map "Test" is down.При этом все работает, ну естественно до Configurator: remote peer of crypto map "Test" is down
На втором тоннеле ничего такого нет. Он просто поднимается и больше ничего в логах не пишет.
В журнале поменял только название тоннеля на "Test" и IP адреса на Удаленный IP и Мой IP соответственно на той стороне и мой.
Никак не могу решить проблему. У меня всего два тоннеля (второй с DrayTek Vigor 2960 в другом месте. С ним вроде все нормально.), вот один начал рваться после прошивки, до этого долго время все было стабильно. Но то что после новой прошивки это явно, потому что сразу же я это заметил.- 1
Падает тоннель
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by Alex R
Новая информация.
Переключил на драйтеке Call Direction: с Dial-out на Both. При изначальной настройке еще давно на другой прошивке Ultra II с этой настройкой не работало, завелось только на Dial-out
Еще поменял с 3des md5 на AES-SHA1 но с Dial-out все равно падало, то есть дело не в шифровании, но оставил AES-SHA1
В общем пока вроде работает без падений и в логах ультры пропали вот эти вот постоянные ipsec12[IKE] sending retransmit 3 of request message ID 0, seq 3
Будем смотреть...