Jump to content
  • 0

Автоматический переход VPN туннеля с резервного интернет канала на основной канал


Etreac
 Share

Question

Добрый день.

 

Есть две локации с роутерами Кинетик

 

1. Локация1 - Keenetic1 Ultra SE (интернет через кабель PPPoE [Белый IP])

2. Локация2 - Keenetic2 Hero 4G (интернет через кабель PPPoE [Белый IP] + резервный интернет через сим-карту)

 

Между ними создан VPN канал IPsec VPN по данной инструкции:

https://help.keenetic.com/hc/ru/articles/360000422620-IPSec-VPN-клиент-сервер

 

Keenetic1 (IPSec)----Инет1/Инет2----(IPSec)Keenetic2

 

Обнаружил следующую проблему:

 

Туннель Локация1 - Локация2 работает без сим карты отлично. После добавления сим-карты в качестве резервного интернета, в какой то момент весь трафик туннеля начинает идти через сим-карту, хотя это подключение стоит в резерве и включен интернет через основной канал и он в норме. Я так понимаю в какой-то момент идет переход VPN туннеля на резервный канал, а потом на основной не возвращается.

 

На сим-карте заканчивается трафик, туннель переходит в статус «нет соединения». При выключении сим-карты в интерфейсе роутера туннель восстанавливается, также восстанавливается после перезагрузки роутера.

 

Поддержка кинетика ответила: Да, на данный момент есть такая особенность реализации, что когда туннель установился через резерв, то он более не перейдёт сам на основной канал. Только с помощью администрирования вручную!

 

Le ecureuil, Хочу попросить у вас помощи в решении данной проблемы.

Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0

Есть такое поведение на ПО 3.8. При схеме

Keenetic1 (IPSec)----Инет1/Инет2----(IPSec)Keenetic2 

На Keenetic2 два канала : один PPPoE второй провод на LAN порту (eth2.9), поднят IPSec между роутерами. При проверке было обнаружено

1. Отключение провода основного провайдера PPPoE на Keenetic2 и переход на резервный канал eth2.9, туннель так же переключился и работал по резервному каналу через eth2.9.

2. Подключение провода основного провайдера PPPoE на Keenetic2 вернул его в работу как основного НО ТУННЕЛЬ так и остался висеть на eth2.9 (так как проблем на этом канале не было)

3. При отключение резервного канала eth2.9 например через WEB или в cli туннель поднимается на основном канале все ОК.

Скрытый текст

1111111.thumb.jpg.959e118e45dec0ec2d7d97ff785ba4db.jpg

222222.thumb.jpg.9f7bcb5ca0b570335b36f2e846545239.jpg

333333.thumb.jpg.114ae44fd006d154f9bda083d927cb3d.jpg

Возможно ли предусмотреть при использование двух каналов основного и резервного, что б туннель так же отрабатывал переключение.

 

При проверки такой же работы но на wireguard туннеля все отрабатывается штатно и правельно.

Edited by vasek00
Link to comment
Share on other sites

  • 0
21 час назад, vasek00 сказал:

Возможно ли предусмотреть при использование двух каналов основного и резервного, что б туннель так же отрабатывал переключение.

Есть такая проблема, IPSec едет на резервный канал и там висит. Я писал в ТП, проблему подтвердили, но пока что в будущем будет доработка. Есть костыль, прописать на клиенте IPSec статический маршрут до IP серверного кинетика через основное подключение. Тогда запросы побегут через основной канал, однако скорей всего через резерв не взлетит.

Link to comment
Share on other sites

  • 0
9 минут назад, SySOPik сказал:

Есть такая проблема, IPSec едет на резервный канал и там висит. Я писал в ТП, проблему подтвердили, но пока что в будущем будет доработка. Есть костыль, прописать на клиенте IPSec статический маршрут до IP серверного кинетика через основное подключение. Тогда запросы побегут через основной канал, однако скорей всего через резерв не взлетит.

Доработка да, вопрос только в том будет ли она или нет.

 

Если дорабатывать самим как пишет ТП Только с помощью администрирования вручную!

В настройках туннеля есть параметры   "l2tp-server lcp echo 30 3" контроля соединения 30сек и 3 fail

crypto map tun--e
    set-peer 1хх.ххх.ххх.ххх
    set-profile tun--e
    set-transform tun--e
    match-address _WEBADMIN_IPSEC_tun--e
    set-tcpmss pmtu
    connect
    nail-up
    reauth-passive
    virtual-ip no enable
    l2tp-server lcp echo 30 3
    l2tp-server no enable
    enable

При выключение основного канала переход на резервный все ОК с подъемом туннеля, т.е. канал рухнул и туннель туда же, переключение на резервный и туннель поднялся. При возврате же на основной контроль туннеля "l2tp-server lcp echo 30 3" не видит проблем на нет и поэтому работает на резерве, маршруты согласно настроек туннеля (удаленная сеть и локальная). При down данного резервного канала (автоматом переход на основной) и выжидание данного "l2tp-server lcp echo 30 3" туннель поднимается на основном как и положено, потом просто надо включить резервный канал.

Для скрипта нужно устанавливать Entware и как вариант есть что-то hook типа /ndm/wan.d контроль WAN порта - любые изменения и имеем переменную $interface и так же /ndm/ifipchanged.d и параметров по более в частности $system_name (он такой же как и $interface) и $connected : $up : $global. Для примера выше например

echo "$id : $system_name : $address : $link : $connected : $up : $global" >> /opt/tmp/table;

ndm/ifipchanged.d
GigabitEthernet0/Vlan9 : eth2.9 : 10.10.10.13 : up : yes : up : 65482

ndm/ifipchanged.d
PPPoE0 : ppp0 : ххх.ххх.ххх.ххх : up : yes : up : 65508

Но есть маленькая фишка по времени обработки скриптов hook

Фев 14 11:18:36 ndm Opkg::Manager: /opt/etc/ndm/wan.d/start.sh: timed out.
Фев 14 11:18:36 ndm Process: killing all processes in "Opkg shell" group... 

Контроль через cron как то не серьезно, хотя просто уронить резерв и подождав 90-100сек. поднять резерв.

 

Возможно можно как то перезапустить туннель IPSec типа как в WEB но команду пока не нашел.

 

 

 

 

Link to comment
Share on other sites

  • 0

Нашел для перезапуска

crypto map tun--e
...
    set-profile tun--e
...
    l2tp-server no enable
    no enable


crypto map tun--e
...
    set-profile tun--e
...
    l2tp-server no enable
    enable

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...