IPsec: состояние политик постоянно меняется

Обсуждение ПО и его настройки
Ответить
micis
Сообщения: 6
Зарегистрирован: 25 фев 2017, 13:38

Соединил микротик (CCR1009 v6.48.1) c фортигейтом (FortiGate 100E) по IPsec.
Проблема в том, что за фортигейтом штук 10 подсетей (поэтому на микротике 10 политик).
И после всех настроек состояние у политик циклически меняется: established, msg1 sent, getspi sent, no phase2.
И при простом пинге получаю до 30% потерь пакетов.

Если я выключаю часть политик (5 и меньше), тогда у всех статус становится established и не меняется.

Что надо донастроить?

Вот конфиг микротика:

Код: Выделить всё

/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=3des,des name=fortigate
/ip ipsec peer
add address=<fortigate_ip>/32 name=fortigate_ip profile=fortigate
/ip ipsec proposal
add enc-algorithms=3des,des name=fortigate_phase2 pfs-group=modp1536
/ip ipsec identity
add peer=fortigate_ip secret=<secret string>
/ip ipsec policy
add dst-address=172.31.0.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.1.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.2.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.3.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.4.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.6.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.7.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.8.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
...


Superkonst
Сообщения: 10
Зарегистрирован: 07 апр 2021, 21:09
Откуда: Санкт-Петербург
Контактная информация:

Не сбивает ли какая-то политика коннект к самому фортигейту?
А нельзя их сократить до одной, спрятав за более широкой маской? типа 172.31.0.0/20


Всегда Ваш, konst.
Ответить