Jump to content

L2TP/IPSec падает соединение при обновлении ключа (Keenetic Giga 3 - Mikrotik)


Recommended Posts

Добрый день.

 

Регулярно раз в шесть часов падает L2TP/IPSec, в логах видно:

[I] Aug 24 23:04:33 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received Cisco Unity vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] received DPD vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] W1.X1.Y1.Z1 is initiating a Main Mode IKE_SA 
[I] Aug 24 23:04:33 ipsec: 05[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Aug 24 23:04:33 ipsec: 05[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 
[I] Aug 24 23:04:33 ipsec: 05[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Aug 24 23:04:33 ipsec: 05[IKE] sending XAuth vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] sending DPD vendor ID 
[I] Aug 24 23:04:33 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Aug 24 23:04:33 ipsec: 10[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Aug 24 23:04:33 ipsec: 11[CFG] looking for pre-shared key peer configs matching W2.X2.Y2.Z2...W1.X1.Y1.Z1[W1.X1.Y1.Z1] 
[I] Aug 24 23:04:33 ipsec: 11[CFG] selected peer config "L2TP0" 
[I] Aug 24 23:04:33 ipsec: 11[IKE] detected reauth of existing IKE_SA, adopting 1 children and 0 virtual IPs 
[I] Aug 24 23:04:33 ipsec: 11[IKE] schedule delete of duplicate IKE_SA for peer 'W1.X1.Y1.Z1' due to uniqueness policy and suspected reauthentication 
[I] Aug 24 23:04:33 ipsec: 11[IKE] IKE_SA L2TP0[106] established between W2.X2.Y2.Z2[W2.X2.Y2.Z2]...W1.X1.Y1.Z1[W1.X1.Y1.Z1] 
[I] Aug 24 23:04:33 ipsec: 11[IKE] scheduling reauthentication in 28767s 
[I] Aug 24 23:04:33 ipsec: 11[IKE] maximum IKE_SA lifetime 28787s 
[I] Aug 24 23:04:34 ndm: IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 2, active CHILD SA: 1.
[I] Aug 24 23:04:43 ipsec: 08[IKE] deleting IKE_SA L2TP0[105] between W2.X2.Y2.Z2[W2.X2.Y2.Z2]...W1.X1.Y1.Z1[W1.X1.Y1.Z1] 
[I] Aug 24 23:04:43 ipsec: 08[IKE] sending DELETE for IKE_SA L2TP0[105] 
[I] Aug 24 23:04:44 ndm: IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1.
[I] Aug 24 23:06:35 pppd_L2TP0: No response to 3 echo-requests
[I] Aug 24 23:06:35 pppd_L2TP0: Serial link appears to be disconnected.
[I] Aug 24 23:06:35 pppd_L2TP0: Connect time 386.1 minutes.
[I] Aug 24 23:06:35 pppd_L2TP0: Sent 505126 bytes, received 1072468 bytes.
[I] Aug 24 23:06:35 ndm: Network::Interface::Ip: "L2TP0": IP address cleared.

Пожалуйста помогите решить проблему.

 

Link to comment
Share on other sites

1 час назад, AlexanderG3 сказал:

Спасибо за быстрый ответ. Это параметр ipsec proposal lifetime на уровне интерфейса L2TP?

 

Да, он.

Поставьте в районе 20000, и ipsec transform-set в 20000.

Link to comment
Share on other sites

Для тестирования, чтобы меньше ждать обновления ключа поставил lifetime 3600, если менять один параметр  ipsec proposal lifetime, то ключ по видимому обновляется, а вот если это же значение поставить для  ipsec transform-set, то все возвращается к той же ситуации как была, только уже не раз в шесть часов, а раз в час. Поставлю 20000 и подожду, как с этой настройкой дела будут. 

Link to comment
Share on other sites

1 час назад, AlexanderG3 сказал:

Для тестирования, чтобы меньше ждать обновления ключа поставил lifetime 3600, если менять один параметр  ipsec proposal lifetime, то ключ по видимому обновляется, а вот если это же значение поставить для  ipsec transform-set, то все возвращается к той же ситуации как была, только уже не раз в шесть часов, а раз в час. Поставлю 20000 и подожду, как с этой настройкой дела будут. 

Да, можно по идее tset не трогать.

Link to comment
Share on other sites

При изменении только ipsec proposal lifetime обновление ISAKMP-SA проходит корректно(видно как на стороне микротика так и на стороне кинетика, служебный тоннель строится). Теперь осталось дождаться чтобы IPSec SA тоже обновились по проcшествию soft lifetime (hard 28800, soft 06:24:00). Напишу результат. 

Link to comment
Share on other sites

Posted (edited)

К сожалению, IPSec SA без разрыва L2TP не обновился: прошло 8 часов и соединение упало. Скажите, пожалуйста, куда еще можно посмотреть, чтобы решить проблему?

 

11[IKE] initiator did not reauthenticate as requested
Aug 27 16:28:54 ipsec
11[IKE] reauthenticating IKE_SA L2TP0[176] actively
Aug 27 16:28:54 ipsec
11[IKE] sending XAuth vendor ID
Aug 27 16:28:54 ipsec
11[IKE] sending DPD vendor ID
Aug 27 16:28:54 ipsec
11[IKE] sending FRAGMENTATION vendor ID
Aug 27 16:28:54 ipsec
11[IKE] sending NAT-T (RFC 3947) vendor ID
Aug 27 16:28:54 ipsec
11[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 27 16:28:54 ipsec
11[IKE] initiating Main Mode IKE_SA L2TP0[177] to IP_Mikrotik
Aug 27 16:28:54 ipsec
16[IKE] received NAT-T (RFC 3947) vendor ID
Aug 27 16:28:54 ipsec
16[IKE] received XAuth vendor ID
Aug 27 16:28:54 ipsec
16[IKE] received DPD vendor ID
Aug 27 16:28:54 ipsec
16[IKE] received FRAGMENTATION vendor ID
Aug 27 16:28:54 ipsec
16[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Aug 27 16:28:54 ipsec
16[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
Aug 27 16:28:54 ipsec
16[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Aug 27 16:28:55 ipsec
09[IKE] found linked key for crypto map 'L2TP0'
Aug 27 16:28:55 ipsec
08[IKE] schedule delete of duplicate IKE_SA for peer 'IP_Mikrotik' due to uniqueness policy and suspected reauthentication
Aug 27 16:28:55 ipsec
08[IKE] IKE_SA L2TP0[177] established between IP_Keenetic[IP_Keenetic]...IP_Mikrotik[IP_Mikrotik]
Aug 27 16:28:55 ipsec
08[IKE] scheduling reauthentication in 3566s
Aug 27 16:28:55 ipsec
08[IKE] maximum IKE_SA lifetime 3586s
Aug 27 16:28:55 ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 2, active CHILD SA: 1.
Aug 27 16:29:05 ipsec
09[IKE] deleting IKE_SA L2TP0[176] between IP_Keenetic[IP_Keenetic]...IP_Mikrotik[IP_Mikrotik]
Aug 27 16:29:05 ipsec
09[IKE] sending DELETE for IKE_SA L2TP0[176]
Aug 27 16:29:05 ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1.
Aug 27 16:30:22 ndhcps
Aug 27 16:30:56 pppd_L2TP0
No response to 3 echo-requests
Aug 27 16:30:56 pppd_L2TP0
Serial link appears to be disconnected.

Edited by AlexanderG3
Link to comment
Share on other sites

Очень уж похоже на баг в ROS, если честно. Он умеет реаутентификацию? Потому что пока видно, что оно или выключено или не умеет принципиально.

Могу посоветовать только костыль в виде установки в ROS lifetime (оба, ike и sa) на, скажем, неделю-другую, и в keenetic тоже. Тогда разрывы сократятся до раз в неделю, но принципиально они останутся.

Link to comment
Share on other sites

Спасибо большое, буду копать в сторону ROS. Вы мне очень помогли, очень рад, что у Keenetic такая замечательная поддержка. Если что то узнаю про микротик - напишу. 

Link to comment
Share on other sites

1 час назад, AlexanderG3 сказал:

ROS

У вас он на ветке stable or long term? попробуйте long term -- может поможет....

Link to comment
Share on other sites

On 8/27/2021 at 6:22 PM, krass said:

У вас он на ветке stable or long term? попробуйте long term -- может поможет....

Спасибо. Уже на long term. Включил PFS - стало  3 rekey проходить норм, четвертый падает. 

Link to comment
Share on other sites

18 минут назад, AlexanderG3 сказал:

Спасибо. Уже на long term. Включил PFS - стало  3 rekey проходить норм, четвертый падает. 

думаю тут придется уже обратиться в тех. поддержку микрота...ну и попробовать написать на  форуме микрота -- может быть там смогут подсказать решение...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...