Подскажите куда копать кто может.
Есть CCR1009, с другой стороны Juniper SRX240.
Настроен Ipsec.
Периодически на микротике происходит отвал соединения на фазе 2 и последующее переподключение с фазы1.
После чего mikrotik пытается ломиться не только на 500 порт, но и на 1 и на 6. Иногда соединение устанавливается. В настройках пира стоит 500 порт.
Если изменить на 1 порт, соединение тоже устанавливается.
Проблема в том, что после развала VPN он не восстанавливается сразу.
При этом в SA прописана только одна строка с параметрами mt_IP to jun_IP и кол-вом байт 0.
Методом тыка выяснили что соединение можно установить сменив порт на другой, а затем сменив его на 500 обратно. И тогда соединение восстановится, но до первого отвала на фазе2.
CCR1009, Прошивка Mikrotik 6.37.1. 3.33
Примеры:
На 6-й порт
Код: Выделить всё
Oct/25/2016 16:37:56 ipsec,debug,packet 236 bytes from mt_ip[500] to jun_ip[6]
Oct/25/2016 16:37:56 ipsec,debug,packet sockname mt_ip[500]
Oct/25/2016 16:37:56 ipsec,debug,packet send packet from mt_ip[500]
Oct/25/2016 16:37:56 ipsec,debug,packet send packet to jun_ip[6]
Oct/25/2016 16:37:56 ipsec,debug,packet src4 mt_ip[500]
Oct/25/2016 16:37:56 ipsec,debug,packet dst4 jun_ip[6]
Oct/25/2016 16:37:56 ipsec,debug,packet 1 times of 236 bytes message will be sent to jun_ip[6]
...
phase1 packet mt_ip[500]<=>jun_ip[6] 36f9ac454543d832:0000000000000000На 1-й порт
Код: Выделить всё
Oct/25/2016 16:27:14 ipsec,debug,packet 236 bytes from mt_ip[500] to jun_ip[1]
Oct/25/2016 16:27:14 ipsec,debug,packet sockname mt_ip[500]
Oct/25/2016 16:27:15 ipsec,debug,packet send packet from mt_ip[500]
Oct/25/2016 16:27:15 ipsec,debug,packet send packet to jun_ip[1]
Oct/25/2016 16:27:15 ipsec,debug,packet src4 mt_ip[500]
Oct/25/2016 16:27:15 ipsec,debug,packet dst4 jun_ip[1]
Oct/25/2016 16:27:15 ipsec,debug,packet 1 times of 236 bytes message will be sent to jun_ip[1]
...
phase1 packet mt_ip[500]<=>jun_ip[1] 36f9ac454543d832:0000000000000000