Jump to content

IPSec между Ultra II и Giga II постоянно падает


Recommended Posts

Здравствуйте, уважаемые форумчане!

У меня поднят IPSec туннель между Keenetic Ultra II и Keenetic Giga II. На роутерах установлены тестовые прошивки v2.08(AAUX.5)A11 и v2.08(AAFS.5)A11 соответственно.  Настройка туннеля производилась по статье №4857 из базы знаний (https://zyxel.ru/kb/4857/). Keenetic Ultra II подключен к Ростелекому (PPPoE) и имеет белый динамический IP. Keenetic Giga II работает через USB модем от Мегафона и имеет серый IP. 

Проблема такая: Туннель постоянно падает, работает какое-то время, потом связь обрывается, а через какое-то время опять восстанавливается.... Три этом интернет на обоих роутерах работает стабильно. По крайней мере в вэбинтерфейсе обоих роутеров "Время работы" роутера и "Длительность" подключения совпадают.

Подскажите в чем может быть проблема?

 

  • Thanks 2
Link to comment
Share on other sites

  • 1 month later...
В 12/9/2016 в 05:51, grishairk сказал:

Здравствуйте, уважаемые форумчане!

У меня поднят IPSec туннель между Keenetic Ultra II и Keenetic Giga II. На роутерах установлены тестовые прошивки v2.08(AAUX.5)A11 и v2.08(AAFS.5)A11 соответственно.  Настройка туннеля производилась по статье №4857 из базы знаний (https://zyxel.ru/kb/4857/). Keenetic Ultra II подключен к Ростелекому (PPPoE) и имеет белый динамический IP. Keenetic Giga II работает через USB модем от Мегафона и имеет серый IP. 

Проблема такая: Туннель постоянно падает, работает какое-то время, потом связь обрывается, а через какое-то время опять восстанавливается.... Три этом интернет на обоих роутерах работает стабильно. По крайней мере в вэбинтерфейсе обоих роутеров "Время работы" роутера и "Длительность" подключения совпадают.

Подскажите в чем может быть проблема?

 

В свежих сборках много изменений по части стабильности, попробуйте их.

  • Thanks 1
Link to comment
Share on other sites

В 21.01.2017 в 03:55, ndm сказал:

@grishairk Проверьте, по сабжу были изменения в версии 2.09.A.1.0-2.

Стабильность однозначно стала лучше, но за 4 дня тестирования было замечено 1 падение VPN соединения... логи к сожалению сохранить не успел,... Наблюдаю, жду следующего разрыва.... Как поймаю разрыв, постараюсь скинуть логи.

Спасибо за исправления!

Link to comment
Share on other sites

1 час назад, grishairk сказал:

Стабильность однозначно стала лучше, но за 4 дня тестирования было замечено 1 падение VPN соединения... логи к сожалению сохранить не успел,... Наблюдаю, жду следующего разрыва.... Как поймаю разрыв, постараюсь скинуть логи.

Спасибо за исправления!

Поймал падение. В вэб интерфейсе  keenetic Ultra II (сервер), в системном мониторе, на вкладке IPSec VPN соединение отображается серой галочкой. А у Keenetic Giga II (клиент) соединение отображается зеленой галочкой (см. приложенные скины). При этом с обоих сторон пинги на подсеть за VPN-ом не проходят....Ultra II.pngGiga II.png

Логи и селфтест прилагаю, логи сняты после того как IPSecVPN заново поднялся.

Link to comment
Share on other sites

  • 1 month later...

Точно такая же проблема, туннель между двумя Keenetic Extra у обоих версия v2.08(AANS.0)C1, интернет стабильный, но постоянно падает Ipsec....что делать? помогите))

 

Еще keenetic который клиент пишет постоянно вот такую штуку - 

Mar 03 11:09:37ndm
IpSec::IpSecVici: IPsec statistics is obsoleted (is strongswan dead?).

 

Edited by Makson4ik
Link to comment
Share on other sites

  • 3 weeks later...

Здравствуйте.

 

Отпишусь по решению проблемы.

IPSEC - Keenetic Viva <-->Keenetic Ultra II

Проблема: падает IPSEC с периодичностью 3-4 часа, оба роутера показывают статус IPSEC "зеленый" но при этом трафик не ходит.Помогает включить/выключить IPSEC.

Cмена прошивок,переход на отладочную версию не помогла, 

Помогло выставление IKE версии 2. (IKEv2). Канал работает уже сутки. Может кому будет полезно.

  • Thanks 4
Link to comment
Share on other sites

Проблема та же, один в один.

Заметил что при смене ключей " Время смены ключей, Фаза 1 / Фаза 2 " контакт восстанавливается, а затем через какое то время пропадает.

Попробую IKEv2 поставить...

Link to comment
Share on other sites

  • 4 weeks later...

@Le ecureuil Не подскажите когда все это дело почините ? А то времени много прошло,а туннель как падал так и падает. Бывает нужно срочно воспользоваться а туннель лежит :cry:

Link to comment
Share on other sites

1 час назад, T@rkus сказал:

@Le ecureuil Не подскажите когда все это дело почините ? А то времени много прошло,а туннель как падал так и падает. Бывает нужно срочно воспользоваться а туннель лежит :cry:

"Машина уже в пути" :)

Никак руки не доходят, но записано и однозначно скоро будет сделано.

  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...

Добрый вечер,

Была связка туннель (центральный офис) Ultra II <- (удаленный офис) Giga III  (AES-256, SHA1 / AES-128, SHA1), на обоих роутерах статические реальные IP.  Дополнительно на Ultra II был настроен сервер IPsec Virtual IP для доступа удаленных клиентов.

После обновления на прошивку v2.08(AAUX.0)C2, работает или тунель или сервер. 

Есть ли возможность работы одновременно и тунеля и сервера?

Спасибо.

Edited by Alexey Putnenko
Link to comment
Share on other sites

13 часа назад, Alexey Putnenko сказал:

Добрый вечер,

Была связка туннель (центральный офис) Ultra II <- (удаленный офис) Giga III  (AES-256, SHA1 / AES-128, SHA1), на обоих роутерах статические реальные IP.  Дополнительно на Ultra II был настроен сервер IPsec Virtual IP для доступа удаленных клиентов.

После обновления на прошивку v2.08(AAUX.0)C2, работает или тунель или сервер. 

Есть ли возможность работы одновременно и тунеля и сервера?

Спасибо.

На 2.08 это невозможно. Была специально добавлена проверка для того, чтобы отключать несовместимые по настройкам туннели, поскольку это так или иначе ведет к труднодиагностируемым проблемам и регулярным отвалам соединения.

В 2.09 все еще ведется работа по уточнению этой проверки, возможно в будущем удастся разрешить некоторые сейчас запрещенные конфигурации.

Link to comment
Share on other sites

В 4/18/2017 в 12:01, T@rkus сказал:

@Le ecureuil Не подскажите когда все это дело почините ? А то времени много прошло,а туннель как падал так и падает. Бывает нужно срочно воспользоваться а туннель лежит :cry:

В пятничной сборке draft наконец-то должно выйти "окончательное решение туннельного вопроса" :D Пробуйте, если падения будут продолжаться - продолжим работу.

  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...

На крайней прошивке IPSec VPN вообще перестал подниматься..... Пробовал перенастраивать заново не помогает! Логи и селфтесты прилагаю.

Link to comment
Share on other sites

3 часа назад, grishairk сказал:

На крайней прошивке IPSec VPN вообще перестал подниматься..... Пробовал перенастраивать заново не помогает! Логи и селфтесты прилагаю.

2.09.A.7.0-2 Подтверждаю

Link to comment
Share on other sites

@Le ecureuilGiga III 2.09.A.7.0-3; Giga II 2.09.A.7.0-3; KII v2.08.C2

На прошивке 2.09.A.7.0-3 туннели вновь стали подниматься. Но падение как было так и есть.

Натянул туннели IPSec VPN между KII v2.08.C2-->Giga II 2.09.A.7.0-3->Giga III 2.09.A.7.0-3. Упали оба где-то через час. 

Self-testы прилагаю.

Edited by T@rkus
Link to comment
Share on other sites

У вас слегка несовместимые настройки, IKEv1 плохо работает с несколькими туннелями сразу как ответчик с разными PSK.

Попробуйте везде перейти на IKEv2, должно помочь.

  • Thanks 1
Link to comment
Share on other sites

В 13.05.2017 в 21:40, Le ecureuil сказал:

У вас слегка несовместимые настройки, IKEv1 плохо работает с несколькими туннелями сразу как ответчик с разными PSK.

Попробуйте везде перейти на IKEv2, должно помочь.

С IKEv2 падения прекратились. Решил по экспериментировать. Оставил туннель между KII 2.08.C2 <- Giga II 2.09.A.7.0-3 на IKEv1.Падения возобновились. На IKEv2 падений нет. Что не так с IKEv1? Self-testы прилагаю.

Link to comment
Share on other sites

В 5/16/2017 в 14:04, T@rkus сказал:

С IKEv2 падения прекратились. Решил по экспериментировать. Оставил туннель между KII 2.08.C2 <- Giga II 2.09.A.7.0-3 на IKEv1.Падения возобновились. На IKEv2 падений нет. Что не так с IKEv1? Self-testы прилагаю.

Просто перейдите на IKEv2, это проще, чем решать проблемы, "встроенные" в протокол IKEv1.

Link to comment
Share on other sites

  • 6 months later...

Падает соединение при сильных группах DH (17,18)

Giga 3 2.10.C.1.0-0 (ожидающая сторона)

Lite 3 rev.B v2.08(AAUQ.4)C2 (инициирующая сторона)

 

IKE v2

Фаза 1 AES-256, SHA512, DH14

Фаза 2 AES-256, SHA256, DH14

Все Ok, не падает.

 

IKE v2

Фаза 1 AES-256, SHA512, DH17

Фаза 2 AES-256, SHA256, DH17

Поднимается, через некоторое время падает, дальше не поднимается.

 

IKE v2

Фаза 1 AES-256, SHA512, DH18

Фаза 2 AES-256, SHA256, DH18

Не поднимается вообще.

 

Self-тесты сделал, но приложу только если совсем без них нельзя ))

Link to comment
Share on other sites

Еще такой вопрос к администраторам. Если у инициатора соединения IPsec пропадает доступ в сеть и заново появляется, IPsec не поднимается автоматом. Необходимо роутер перезагрузить или ждать часа 2. Как можно настроить, чтобы устранить этот прикол? Пробовал убирать/выставлять Nailed-up, время жизни IKE и SA, но не помогает. Еще есть приколюха с неверно отображаемым временем смены ключей: image.png.604e101c56833a754df20fa018da9f0f.png

Link to comment
Share on other sites

В 12/16/2017 в 03:41, cocojambo сказал:

Падает соединение при сильных группах DH (17,18)

Giga 3 2.10.C.1.0-0 (ожидающая сторона)

Lite 3 rev.B v2.08(AAUQ.4)C2 (инициирующая сторона)

 

IKE v2

Фаза 1 AES-256, SHA512, DH14

Фаза 2 AES-256, SHA256, DH14

Все Ok, не падает.

 

IKE v2

Фаза 1 AES-256, SHA512, DH17

Фаза 2 AES-256, SHA256, DH17

Поднимается, через некоторое время падает, дальше не поднимается.

 

IKE v2

Фаза 1 AES-256, SHA512, DH18

Фаза 2 AES-256, SHA256, DH18

Не поднимается вообще.

 

Self-тесты сделал, но приложу только если совсем без них нельзя ))

Оставайтесь на первом варианте, пока DH5 и может чуть выше вполне достаточно, чтобы никто за разумное время не вскрыл ваш трафик. На вашем железе с DH18 процессор просто не успевает сгенерить и проверить ключи.

Link to comment
Share on other sites

  • 2 weeks later...
On 19.12.2017 at 8:51 PM, Le ecureuil said:

Оставайтесь на первом варианте, пока DH5 и может чуть выше вполне достаточно, чтобы никто за разумное время не вскрыл ваш трафик. На вашем железе с DH18 процессор просто не успевает сгенерить и проверить ключи.

Спасибо, уже вкурил. DH 16 вроде работает стабильно.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...