Keenetic Ultra 2.16.D.12.0-8 туннели IP-sec ведут себя некорректно - не вовремя обновляют ключи шифрования

[Андрей Визгин]

На устройстве есть 7 туннелей в разные стороны.

все в версии ipsec IKEv1, до разных мест соответственно.

фаза 1:

Шифрование IKE: 3des, aes-128

целостность sha-1

DH 5 и 14

время жизни: 10800 сек

фаза 2:

Шифрование IKE: 3des, aes-128

целостность: sha-1

DH: нет

время жизни: 3600 сек

1 проблема: Ключ PSK (сейчас он один на все туннели), давным давно в версийном смысле (еще до беты даже), было замечено, что разные ключи по туннелям не работают, они все получают один ключ-фразу от первого стартовавшего/установленного туннеля.

тянется очень давно по версиям, с этим я смирился (но было бы неплохо это пофиксить).

2 проблема: возможно она связана логически с первой. туннели обновляют ключи шифрования не по своему времени, а сегодня заметил, что время обновления ключа в "других соединениях" у другого туннеля "соседа" очень сильно совпадает с пропаданием связи по этому.

притом "выкл/вкл" делать приходится обоим, т.к. связь пропадает на каждом из них.

такая же радость наблюдалась на предыдущих девайсах: giga II, giga III

Edited February 7, 2023 by Андрей Визгин

[Андрей Визгин]

в дополнение к написанному выше.

такая ситуация наблюдается именно с прошивкой второй версии, подтверждено на нескольких версиях прошивки и на Giga II, Giga III и Ultra.

последний раз сохранял логи в момент смены ключей к одного из туннелей.

но вопрос стал из актуальных просто информативным...

потому что сегодня психанул и перешел на другой девайс - Keenetic Ultra II с прошивкой 3.9.10.

настроил всё аналогично - выждал и проверил - нормально работает, ключи обновляются корректно у каждого туннеля.

был только один момент - при настройке 7и туннелей, роутер перестал отображать их в списке - висело "загрузка ..." на страничке.

перезагрузка роутера все решила.

 

Edited February 20, 2023 by Андрей Визгин