Падает IPSec (Keenetic Viva / II)

[avanti-sysadmin]

Добрый день!

Обновился на одном роутере (Keenetic  II) до 2.13.C.0.0-4. Вроде выглядело всё стабильно, обновил остальные (Keenetic Viva / II) - IPSec падает каждый день.

Точнее, не падает, а на роутере выглядит живым, но соединения (пинги, данные) не идёт. Перезагружаешь роутер - всё ок.

Если не перезагружать - то просто перезапустить IPSec не получается, не поднимается.

Вроде бы проблема касается только Keenetic Viva, наблюдаю...

До этого была какая-то версия, которая кончалась на 3 (вроде из серии 2.13, хотя может и 2.11-2.12). Сдуру обновил, не скачав старую прошивку себе на комп

Найти такую прошивку не могу здесь: http://files.keenopt.ru/experimental/Keenetic_Viva/

Единственное, что нашел, это kng_rc_draft_2.12.A.1.0-4.bin, но там есть надпись жёлтая "Экспериментальная версия" (или что-то подобное), а в моей - не было.

И даже если её поставить, в ней куча ненужных компонентов, и одного нужного нет (SNMP), а если их поставить/удалить, то прошивка станет 2.13.C.0.0-4, т.е. проблемной...

Просьба помочь, если это возможно. Спасибо!

[avanti-sysadmin]

Может в новой версии что-то требуется поменять в настройках? (роутеры кинетик у меня являются клиентами, т.е. именно они "поднимают" соединение)...

 

[avanti-sysadmin]

Галка "Автоподключение" и "Nailed-up" взаимоисключающие?

Но вопрос в том, что есть ряд точек, где такие же настройки и там ничего не падает (версия кинетик ос та же).

Мне кажется, это не вопрос настроек, а где-то есть баг, которого не было в более ранней прошивке...

Именно эти настройки были в старой прошивке и всё работало без сбоев. И сейчас есть ряд точек, где стоит DSL (2.11.C.1.0-3) и там такая же настройка и нет сбоев.

Edited December 4, 2018 by avanti-sysadmin

[AndreBA]

1 час назад, avanti-sysadmin сказал:

Найти такую прошивку не могу здесь: http://files.keenopt.ru/experimental/Keenetic_Viva/

 

Поискать можно здесь. Но какие компоненты установлены с теми и "жить" придется...

[avanti-sysadmin]

Один из роутеров Giga II, тоже "упал", соединение вроде есть (с обеих сторон), но данные и пинги не ходят. Попытка отключить и включить соединение не помогают. Помогает только перезагрузка роутера.

Обращаюсь к разработчикам - просьба помочь с исправлением бага, могу выслать логи...

[avanti-sysadmin]

Прошивка была именно 2.11.C.1.0-3, нашел один необновлённый роутер (но только VIVA, к сожалению) с ней, забрал, поставил. Но там нет компонентов IP-IP/GRE, а они теперь нужны, их уже не поставишь без обновления прошивки (а новая прошивка сбойная).

Всё равно просьба исправить баг с IPSec в новой прошивке 2.13.C.0.0-4. Спасибо!

[avanti-sysadmin]

Вернул везде на старую прошивку 2.11.C.1.0-3.

Опытным путём выяснил, что проблемы были только с VIVA и с GIGA II, а моделью II проблем не было.

[Le ecureuil]

В 05.12.2018 в 03:33, avanti-sysadmin сказал:

Прошивка была именно 2.11.C.1.0-3, нашел один необновлённый роутер (но только VIVA, к сожалению) с ней, забрал, поставил. Но там нет компонентов IP-IP/GRE, а они теперь нужны, их уже не поставишь без обновления прошивки (а новая прошивка сбойная).

Всё равно просьба исправить баг с IPSec в новой прошивке 2.13.C.0.0-4. Спасибо!

Попробуйте legacy / 2.11.D.

 

Насчет исправления - нужны подробности, селф-тесты когда не работает и все такое. Без этого мы гадаем на кофейной гуще.

[yuoras]

Хочу поднять тему.

Прошивка последняя ( 2.16.D.1.0-0 ) на обоих Giga II (один клиент ,второй сервер).

Показывает на обоих статус подключено , а в реальности пинги пропадают.

При подключении к серверу пинги есть , потом какое то время проходит и они пропадают.

Разорву соединение и обратно подключаюсь, пинги вновь бегут.

Nailed-up  и Обнаружение неработающего пира (DPD)  пробовал и активными и не активными.

Кстати, иногда вижу странную дату смены ключей

[plv]

Такое время тоже периодически. IPsec работает безобразно. У меня ситуация печальная вообще. Я в поддержке описывал уже. Куча мелких офисов, где стояли разные роутеры, Старье типа dlink 804, mikrotik hap lite, парочка убиквити эдж роутер х. В важных офисах dlink DFL - не откажусь от них никогда. Везде инет или эзернет или оптика, никаких занатом и т.д. Весь этот зоопарк работает годами без проблем, чаще свет отключают чем что-то повиснет.

И тут меня дернуло поменять 804 длинки и микротика. Накупил с десяток 1410, 1610, 1710 и понеслась.... Пробовал разное ПО, разное время "рекей" - поддержка советовала, в итоге не помогло. Туннели отваливаются и кинетик стоит не пойми чего ждет. Не помогает не перезагрузка, не вкл выкл туннель. Ему надо постоять некое время и туннель поднимется, но закономерности нет.

[Le ecureuil]

4 часа назад, plv сказал:

Такое время тоже периодически. IPsec работает безобразно. У меня ситуация печальная вообще. Я в поддержке описывал уже. Куча мелких офисов, где стояли разные роутеры, Старье типа dlink 804, mikrotik hap lite, парочка убиквити эдж роутер х. В важных офисах dlink DFL - не откажусь от них никогда. Везде инет или эзернет или оптика, никаких занатом и т.д. Весь этот зоопарк работает годами без проблем, чаще свет отключают чем что-то повиснет.

И тут меня дернуло поменять 804 длинки и микротика. Накупил с десяток 1410, 1610, 1710 и понеслась.... Пробовал разное ПО, разное время "рекей" - поддержка советовала, в итоге не помогло. Туннели отваливаются и кинетик стоит не пойми чего ждет. Не помогает не перезагрузка, не вкл выкл туннель. Ему надо постоять некое время и туннель поднимется, но закономерности нет.

Реально не хватает информации.

Сообщите plz тикеты из поддержки, мы с ними посмотрим, что там не так.

[plv]

Запрос #452556

Рвался туннель сегодня 6 раз. Причем я смотрел, как мне показалось,не во время - Время смены ключей - а прям вот пару раз в течении 20 минут.

И еще у меня есть старый кинетик черный v2.08, там все нормально.

 

 

[Коршунов Евгений]

Здравствуйте!

Может не в тему, но IPSec на 3.3 с обновления от 20.10.2019 начал работать очень некорректно. При чём, на Kenetic (Ultra (KN-1810) и Keetenic Ultra II) белым IP пашет без проблем, а связка белый IP - серый IP работать не хочет. На стороне Keenetic  Ultra (KN-1810) c серыи IP в логе дополнительно указывает 12[IKE] tried 1 shared key fo 'xx.xx.xx.xxx'-'xxx.xx.xxx.xx', but MAC mismatched                                    12[IKE]linked key for crypto map 'xxx.xx.xxx.xx' is not found, still searching  ...

Лог Keenetic Ultra II с белым IP:

IpSec::Configurator: remote peer rejects to authenticate our crypto map "ххх.хх.ххх.хх".

Ноя 17 23:18:23

ndm

IpSec::Configurator: (possibly because of wrong local/remote ID).

Ноя 17 23:18:23

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.

Ноя 17 23:18:23

ipsec

15[IKE] IKE_SA deleted

Ноя 17 23:18:23

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Ноя 17 23:18:23

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.

Ноя 17 23:18:23

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Ноя 17 23:18:23

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.

Ноя 17 23:18:23

ndm

Core::Syslog: last message repeated 2 times.

Ноя 17 23:18:23

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Ноя 17 23:18:24

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Ноя 17 23:18:42

ipsec

09[IKE] 46.47.7.2 is initiating an IKE_SA

Ноя 17 23:18:42

ipsec

09[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768

Ноя 17 23:18:42

ipsec

09[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768

Ноя 17 23:18:42

ipsec

09[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768

Ноя 17 23:18:42

ipsec

09[IKE] remote host is behind NAT

Ноя 17 23:18:42

ipsec

12[CFG] looking for peer configs matching ххх.хх.ххх.хх[ххх.хх.ххх.хх]...хх.хх.х.х[хх.хх.хх.ххх]

Ноя 17 23:18:42

ipsec

12[CFG] selected peer config 'ххх.хх.ххх.хх'

Ноя 17 23:18:42

ipsec

12[IKE] linked key for crypto map 'ххх.хх.ххх.хх' is not found, still searching

Ноя 17 23:18:42

ipsec

12[IKE] authentication of 'хх.хх.хх.ххх' with pre-shared key successful

Ноя 17 23:18:42

ipsec

12[IKE] linked key for crypto map 'ххх.хх.ххх.хх' is not found, still searching

Ноя 17 23:18:42

ipsec

12[IKE] authentication of 'ххх.хх.ххх.хх' (myself) with pre-shared key

Ноя 17 23:18:42

ipsec

12[IKE] IKE_SA ххх.хх.ххх.хх[9099] established between ххх.хх.ххх.хх[ххх.хх.ххх.хх]...хх.хх.х.х[хх.хх.хх.ххх]

Ноя 17 23:18:42

ipsec

12[IKE] scheduling reauthentication in 31535980s

Ноя 17 23:18:42

ipsec

12[IKE] maximum IKE_SA lifetime 31536000s

Ноя 17 23:18:42

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 1, active CHILD SA: 0.

Ноя 17 23:18:42

ipsec

12[CFG] received proposals: ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ

Ноя 17 23:18:42

ipsec

12[CFG] configured proposals: ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ

Ноя 17 23:18:42

ipsec

12[CFG] selected proposal: ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ

Ноя 17 23:18:42

ipsec

12[IKE] CHILD_SA ххх.хх.ххх.хх{9101} established with SPIs cdef24d3_i c3a6603d_o and TS 192.168.1.0/24 === 192.168.3.0/24

Ноя 17 23:18:42

ndm

IpSec::Configurator: crypto map "ххх.хх.ххх.хх" is up.

Ноя 17 23:18:42

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 1, active CHILD SA: 1.

Ноя 17 23:18:42

ipsec

10[IKE] received DELETE for IKE_SA ххх.хх.ххх.хх[9099]

Ноя 17 23:18:42

ipsec

10[IKE] deleting IKE_SA ххх.хх.ххх.хх[9099] between ххх.хх.ххх.хх[ххх.хх.ххх.хх]...хх.хх.х.х[хх.хх.хх.ххх]

Ноя 17 23:18:42

ndm

IpSec::Configurator: remote peer rejects to authenticate our crypto map "ххх.хх.ххх.хх".

Ноя 17 23:18:42

ndm

IpSec::Configurator: (possibly because of wrong local/remote ID).

Ноя 17 23:18:42

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.

Ноя 17 23:18:42

ipsec

10[IKE] IKE_SA deleted

Ноя 17 23:18:42

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Ноя 17 23:18:42

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.

Ноя 17 23:18:43

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Ноя 17 23:18:43

ndm

IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.

Ноя 17 23:18:43

ndm

Core::Syslog: last message repeated 2 times.

Ноя 17 23:18:43

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Ноя 17 23:18:43

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

 

[plv]

Отвечать никто не планирует?

[Mikesk]

1 минуту назад, plv сказал:

Отвечать никто не планирует?

здесь форум любителей. Профессионалы отвечают в 

 

В 08.11.2019 в 19:05, plv сказал:

Запрос #452556

 

[plv]

Мне кажется любителям ipsec побоку

[Mamay]

23 минуты назад, plv сказал:

Мне кажется любителям ipsec побоку

Вы не так поняли посыл. Этот форум вмещает в себя только "любителей", читай волонтёров, владельцев кинетиков и иногда рэндомно заглядывают разработчики. И здесь что либо требовать не корректно и бессмысленно.

Так вы можете разговаривать лишь с официальной поддержкой имярек... 

[plv]

Да, нет я ничего не требовал, вам показалось. Я обращался вообще к людям у которых подобные проблемы, вдруг чего решили. Запрос к офиц сделал тоже.

[Кинетиковод]

38 минут назад, plv сказал:

Я обращался вообще к людям у которых подобные проблемы, вдруг чего решили. Запрос к офиц сделал тоже.

Вы хоть бы логи выложили. Подобные у вас проблемы или нет никто не знает. Все данные вы отправили в ТП, любители их не видят. На вопросы "у меня ничего не работает. что делать?" тут не отвечают.