В какой-то момент перестаёт работать VPN канал L2TP + IPSEC

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
amiton
Сообщения: 16
Зарегистрирован: 08 ноя 2017, 19:45

Добрый день, коллеги.
Наблюдаю одну странную штуку уже много лет и никак не могу её побороть.
Есть центральный офис с микротиком RB3011UiAS, 6.48.5 long-term (ip 80.80.80.80) и много разных складов подключенных по L2TP+IPSEC (для примера 46.46.46.46, с микротиком Hap AC2, 6.48.5 long-term) .
Провайдеры везде разные.
В офисе белый IP, на складах по разному. Где-то белый, где-то за NAT
Периодически, бывает раз в неделю или в несколько месяцев отваливается соединение с каким-нибудь офисом и начинают сыпаться вот такие сообщения в логи (остальные соединения со складами в этот момент работают):

сторона офиса (и так по кругу):
phase1 negotiation failed due to time up 80.80.80.80[500]<=>46.46.46.46[500] 267906dfb857a43e:b47addee803b5876
respond new phase 1 (Identity Protection): 80.80.80.80[500]<=>46.46.46.46[500]
ISAKMP-SA deleted 80.80.80.80[4500]-46.46.46.46[4500] spi:bce8e55a8bbf1eac:6329f709af4addbe rekey:1
ISAKMP-SA deleted 80.80.80.80[4500]-46.46.46.46[4500] spi:bce8e55a8bbf1eac:6329f709af4addbe rekey:1
the packet is retransmitted by 46.46.46.46[500].
the packet is retransmitted by 46.46.46.46[500]
the packet is retransmitted by 46.46.46.46[500].
respond new phase 1 (Identity Protection): 80.80.80.80[500]<=>46.46.46.46[500]
purging ISAKMP-SA 80.80.80.80[4500]<=>46.46.46.46[4500] spi=0dce7e7f897f553e:7258631687f2d2bc.
ISAKMP-SA deleted 80.80.80.80[4500]-46.46.46.46[4500] spi:0dce7e7f897f553e:7258631687f2d2bc rekey:1
the packet is retransmitted by 46.46.46.46[500].
the packet is retransmitted by 46.46.46.46[500].

сторона склада (и так по кругу):
initiate new phase 1 (Identity Protection): 192.168.0.10[500]<=>80.80.80.80[500]
l2tp-vpn: terminating... - session closed
l2tp-vpn: disconnected
ISAKMP-SA deleted 192.168.0.10[500]-80.80.80.80[500] spi:0fc83a1db9b7c067:0000000000000000 rekey:1

Дальше возможны варианты, либо это всё крутится по кругу и в какой-то момент подключается.
Либо начинает работать только например через день или два.
Если сделать подключение по SSTP, то работает всегда.
Как я понимаю, проблема возникает в IPSEC. Как-то пробовал сделать голое подключение L2TP без него и подключается нормально.

Что пробовал делать и не помогает:
Удалял подключения с обеих сторон в ip--firewall--connections
менял время жизни в IPSEC--Proposals--lifetime на 1 минуту
и в IPSEC--Profiles--lifetime на 1 минуту
перегружать микротик на складе

Такое ощущение, что в какой-то момент провайдер начинает блокировать или мешать прохождению IPSEC трафика, а потом перестаёт или зависает какое-то соединение, которое отваливается потом по тайм-ауту, но какое не могу понять.
Никак не могу понять куда копать в этой ситуации.
Кто-нибудь сталкивался с этим?


Аватара пользователя
amiton
Сообщения: 16
Зарегистрирован: 08 ноя 2017, 19:45

Отвечу сам себе, очень похоже на вот эту историю:
viewtopic.php?t=3464
Буду пробовать этот скрипт


Ответить