Jump to content

Не поднимается IPIP туннель в автоматическом режиме из-за NAT


Recommended Posts

Попробовал поднять IPIP(остальные думаю тоже ибо ipsec транспорт не поднимается) в автоматическом режиме  из-за NAT

Гига2 и Ультра2 подключены к интернетам, у обоих белый IP

К Ультре2 подключена Экстра2 как точка доступа. Если пытаюсь поднять туннель в автоматическом режиме с Экстры на Гигу то не работает. ipsec транспорт не устанавливается.

Если просто с Ультры на Гигу то все ок

Селфтесты далее.

Edited by r13
Link to comment
Share on other sites

10 часов назад, r13 сказал:

Попробовал поднять IPIP(остальные думаю тоже ибо ipsec транспорт не поднимается) в автоматическом режиме  из-за NAT

Гига2 и Ультра2 подключены к интернетам, у обоих белый IP

К Ультре2 подключена Экстра2 как точка доступа. Если пытаюсь поднять туннель в автоматическом режиме с Экстры на Гигу то не работает. ipsec транспорт не устанавливается.

Если просто с Ультры на Гигу то все ок

Селфтесты далее.

Ваша проблема исправлена, появится в новой сборке.

Если есть возможность, могу вам собрать прошивку на Giga II для проверки прямо сейчас.

Проблема связана не с NAT, а с неподгрузкой ключей в некоторых случаях.

Link to comment
Share on other sites

Такой срочности нет, подожду вечерней сборки, проверю, или надо сейчас проверить?

Edited by r13
Link to comment
Share on other sites

2 минуты назад, r13 сказал:

Такой срочности нет, подожду вечерней сборки, проверю, или надо сейчас проверить?

Не хотелось бы на неделю затягивать еще + скоро выйдет стабильная версия 2.08, и чем больше туда багфиксов войдет, тем всем же лучше.

Link to comment
Share on other sites

Тогда давайте, протестирую. Нужно только гигу обновить или и экстру?

На гиге с pptp компонентом пожалуйста.

Link to comment
Share on other sites

6 минут назад, r13 сказал:

Тогда давайте, протестирую. Нужно только гигу обновить или и экстру?

На гиге с pptp компонентом пожалуйста.

Только giga2.

Сейчас вам в личку ссылку пришлю.

Link to comment
Share on other sites

15 минут назад, r13 сказал:

Тогда давайте, протестирую. Нужно только гигу обновить или и экстру?

На гиге с pptp компонентом пожалуйста.

https://www.dropbox.com/s/u8sr29qoc2i60cq/20170120_1104_Firmware-Keenetic_Giga_II-v2.09[AAFS.1]A1.bin?dl=0

Link to comment
Share on other sites

Да, подключилось, и  null в логе для IKE_SA теперь пропал, вместо него нормальный IP. селфтесты нужны?

Edited by r13
Link to comment
Share on other sites

1 минуту назад, r13 сказал:

Да, подключилось, и  null в логе для IKE_SA теперь пропал, вместо него нормальный IP. селфтесты нужны?

Попрошу вас проверить несколько раз, желательно прям кнопкой выключать и включать устройство.

Если все будет работать, то отлично, ;) так и выпустим.

Link to comment
Share on other sites

Ну кнопкой вряд ли :) . Я по ней по телефону удаленно лазию, сча через интерфейс поперезагружаю.. только сервер или обоих?

Link to comment
Share on other sites

2 минуты назад, r13 сказал:

Ну кнопкой вряд ли :) . Я по ней по телефону удаленно лазию, сча через интерфейс поперезагружаю.. только сервер или обоих?

Только сервер, на клиентах все равно багифксов нет, а там тоже довольно много изменений (надеюсь в лучшую сторону :)).

Link to comment
Share on other sites

Полагаю это уже проблема на клиенте была? Перезагрузка сервиса ipsec на клиенте не помогла, полная перезагрузка клиента помогла.

Продолжаю ребутить сервер с данной точки.

Link to comment
Share on other sites

Еще пара селфтестов с гиги после перезагрузки. По началу сыпет ошибками. Видимо конфигурация не до конца подтянулась, но затем подключается корректно. 

Link to comment
Share on other sites

28 минут назад, r13 сказал:

Еще пара селфтестов с гиги после перезагрузки. По началу сыпет ошибками. Видимо конфигурация не до конца подтянулась, но затем подключается корректно. 

Пока пусть так и будет (нужно добиться, чтобы работало как часы), а потом уже поработаем над сокращением мусора в логах.

35 минут назад, r13 сказал:

Полагаю это уже проблема на клиенте была? Перезагрузка сервиса ipsec на клиенте не помогла, полная перезагрузка клиента помогла.

Продолжаю ребутить сервер с данной точки.

Да, там предположительно из-за багов в клиенте.

Link to comment
Share on other sites

@Le ecureuil

Тогда все ок, за 10ок перезагрузок туннель переподключился.

Клиента после того как он заработал не трогал.

ЗЫ ходят ли данные каждый раз не проверял только по логу, только в последнем прогоне проверил, пинги бегают..

Edited by r13
Link to comment
Share on other sites

@Le ecureuil

Продолжаем разговор...

Обновил гигу и экстру до 2.09.A.1.0-2

После загрузки роутеров туннель поднялся.

Далее пропал канал(перезагрузка ультра2)

После восстановления канала роутеры не смогли восстановить туннель, перезагрузка клиента помогла его восстановить.

Повторно не восроизвелось.

Селфтесты далее.

Link to comment
Share on other sites

В 1/21/2017 в 00:05, r13 сказал:

@Le ecureuil

Продолжаем разговор...

Обновил гигу и экстру до 2.09.A.1.0-2

После загрузки роутеров туннель поднялся.

Далее пропал канал(перезагрузка ультра2)

После восстановления канала роутеры не смогли восстановить туннель, перезагрузка клиента помогла его восстановить.

Повторно не восроизвелось.

Селфтесты далее.

У вас на сервере (Giga) судя по всему бардак с default route.

Сами смотрите.

Extra все делает правильно, предпринимая попытки открыть IKE SA с Giga, это видно как в ее логе, так и в логе Giga (видим в логе Giga начиная с Jan 20 23:47:20 постоянные получаемые от Extra пакеты и отправляемые ей ответы, которые уходят не в GigabitEthernet0/Vlan2, а неизвестно куда, потому что Extra их не получает обратно).

А то, что у вас запасным default route становится USB-модем хорошо видно вот здесь:

Jan 20 23:38:44 ndm: Dhcp::Client: adding a default route via 192.168.0.1.

После чего сразу отваливается PPTP по таймауту и IPsec.

Возможно стоит создать отдельную тему по поводу маршрутизации и приоритетов на default route, но сперва проверьте как вообще все это работает, в какой интерфейс реально идут пакеты и что при этом наблюдается в Web и логах.

Link to comment
Share on other sites

Да, судя по логу какого-то лешего сменился default route, хотя поднято подключение с более высоким приоритетом... попробую сегодня воспроизвести, если получится заведу новую тему связанную с default route.

Link to comment
Share on other sites

Поэкспериментировал, отключив все лишнее (туннели, pptp) c гигой.

Сообщение в логе ndm: Dhcp::Client: adding a default route via 192.168.0.1.  Не меняет default route а только видимо запоминает информацию о нем. Так что проблема в чем то другом.

Далее несмотря на отключенное состояние туннеля он продолжает резолвить IP.

ЗЫ так же в логе не как не отражено переключение на резервное модемное соединение, хотя по факту интернет через оде работал.

Селфтест с экспериментом далее.

Link to comment
Share on other sites

19 часов назад, r13 сказал:

Поэкспериментировал, отключив все лишнее (туннели, pptp) c гигой.

Сообщение в логе ndm: Dhcp::Client: adding a default route via 192.168.0.1.  Не меняет default route а только видимо запоминает информацию о нем. Так что проблема в чем то другом.

Далее несмотря на отключенное состояние туннеля он продолжает резолвить IP.

ЗЫ так же в логе не как не отражено переключение на резервное модемное соединение, хотя по факту интернет через оде работал.

Селфтест с экспериментом далее.

Принято, посмотрим.

Link to comment
Share on other sites

@Le ecureuil

Еще пара вопросов по автоматическому туннелю.

Не понятно зачем столько rekey

При обычном голом ipsec их вроде меньше,

Здесь же на rekey 2 итерации СHILD_SA и 2 Итерации IKE_SA

Не понятно.

Для примера селфтесты с rekey начиная с Feb  1 05:17:39

 

Edited by r13
Link to comment
Share on other sites

11 минуту назад, r13 сказал:

@Le ecureuil

Еще пара вопросов по автоматическому туннелю.

Не понятно зачем столько rekey

При обычном голом ipsec их вроде меньше,

Здесь же на rekey 2 итерации СHILD_SA и 2 Итерации IKE_SA

Не понятно.

Для примера селфтесты с rekey начиная с Feb  1 05:17:39

 

Это из-за сочетания сразу двух особенностей.

Во-первых, используется небольшой fuzz для определения времени rekey. То есть если задано например 86400 секунд, то настоящий rekey начнется за 86400 - 8640 + 4320 * (rand() % 1) секунд. Это специально сделано, чтобы не было ситуации, когда IKE/CHILD SA удаляются по истечении времени жизни и только потом начинается rekey, что ведет к пропаданию трафика на время + чтобы избежать перегрузки канала и процессора, если настроено сразу несколько туннелей с одинаковым интервалом rekey. Потому в вашем случае rekey может быть инциирован любой из сторон, возможно двумя сторонами сразу, возможно с небольшим лагом друг от друга. Это может выглядеть как излишний rekey. Но в итоге это все равно отработает правильно.

Во-вторых, SA в ядре полудуплексные, но из-за особенностей настройки ядра в случае транспортного режима необходимо пересогласовывать каждую SA индивидуально, а для туннельного режима можно обойтись одним разом.

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...