Сорри, если баян, но поиск ipsec по форуму отшивает, слишком много ответов, грит ))
Поднял ipsec между двумя RB750gr3. На обоих 6.48. Завернул внутрь межсетевой трафик. Но вылезли косяки, по которым в интернете вся инфа 3-5 летней давности, еще до перепила IPSec в RouterOS.
1. После отключения по питанию (и последующего включения) трафик по туннелю не идет.
2. Периодически трафик перестает попадать в туннель и без всяких отключений, почему это происходит, пока не понимаю. Потом может снова начать работать. Параметры на обоих концах идентичные за исключением того, что на одном конце выставлено SEND_INITIAL_Contact, а на другом - PASSIVE.
С качеством интернета не связано никак, все поднятые OpenVPN клиенты не падают.
Ткните во что-нибудь, где описывается решение этих проблем.
IPSec 6.48
-
denis1978
- Сообщения: 56
- Зарегистрирован: 06 июн 2020, 09:52
Попробуйте Downgrade на 6.47.8
6.48 сильно косячная вышла.
6.48 сильно косячная вышла.
-
remendado
- Сообщения: 9
- Зарегистрирован: 21 янв 2021, 13:22
Откатился, не помогло. В какой-то момент туннель прекращает принимать пакеты. При этом пиры активные, ошибок IPSec по логам не видно.
Исходящие пакеты попадают в правило
defconf: accept out ipsec policy
но на другой стороне не появляются.
А потом вдруг с какого-то момента все может начать работать.
-
denis1978
- Сообщения: 56
- Зарегистрирован: 06 июн 2020, 09:52
Попробуйте GRE туннель, а в нем ipsec.
У меня так работает с огромным аптаймом.
У меня так работает с огромным аптаймом.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
denis1978
- Сообщения: 56
- Зарегистрирован: 06 июн 2020, 09:52
Можно и так и так.
Разве нет?
Разве нет?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Можно то оно может и можно, но только зачем?!
Лишний оверхед, раз.
Теряется возможность "нормально" маршрутизировать трафик, все равно придется все решать политиками, два.
Почему тогда просто не использовать IPSec в туннельном режиме, три.
Тем более, что для этого не обязательны белые адреса на обоих концах.
Лишний оверхед, раз.
Теряется возможность "нормально" маршрутизировать трафик, все равно придется все решать политиками, два.
Почему тогда просто не использовать IPSec в туннельном режиме, три.
Тем более, что для этого не обязательны белые адреса на обоих концах.
Telegram: @thexvo
-
denis1978
- Сообщения: 56
- Зарегистрирован: 06 июн 2020, 09:52
Согласен. Просто у меня такие условия, что особой разницы нет. Что у ТС пока не понятно.
-
remendado
- Сообщения: 9
- Зарегистрирован: 21 янв 2021, 13:22
Бдение над трафиком показало, что в какой-то момент между хостами прекращается обмен ключами. Причем это случается далеко не сразу, может произойти и через несколько циклов обмена.
Весь мозг уже сломал.
Весь мозг уже сломал.
Последний раз редактировалось remendado 23 янв 2021, 22:38, всего редактировалось 1 раз.
-
denis1978
- Сообщения: 56
- Зарегистрирован: 06 июн 2020, 09:52
А Вы откатили оба микрота? GRE пробовали?