Пропадает траффик ipsec туннеля после сбоя интернета

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Stanny
Сообщения: 2
Зарегистрирован: 24 ноя 2018, 11:45
Откуда: Москва

Здравствуйте!
У меня есть центральный офис и 3 филиала по России. Все подключены по ipsec к центру. Все было замечательно пока в одном из филиалов не начали объединяться провайдеры. Теперь по нескольку раз он дню они дропают соединения. Выливалось это в ошибку шифрования туннеля. Выставит DPD, стало заметно лучше, но не идеально. Периодически после отвала, соединение восстанавливается, статус указан "established", но траффик перестает ходить. По логам все в порядке. Помогает только ребут роутера, причем каждый то решается перезагрузкой уделенного, то центрального. Проблем с другими туннелями никогда не было. Настройки одинаковые. Может кто сталкивался с подобным? Хотелось бы как то без костылей решить проблему.
Версия везде 6.43.4
/ip ipsec> peer print
address=### local-address=### profile=PROF1 auth-method=pre-shared-key secret="###"
generate-policy=port-override policy-template-group=default exchange-mode=main send-initial-contact=yes
compatibility-options=skip-peer-id-validation

/ip ipsec> peer profile pr
name="PROF1" hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp1024 lifetime=8h proposal-check=obey nat-traversal=yes
dpd-interval=1m dpd-maximum-failures=2

/ip ipsec> policy pr
DA src-address=192.168.4.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique
ipsec-protocols=esp tunnel=yes sa-src-address=### sa-dst-address=### proposal=PROP1 ph2-count=3


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Как предположение...
Поглядите IP-Route после сбоя канала. И, возможно, все станет ясно. В качестве шлюза указывайте не имя интерфейса, а IP удаленного микротика.


Аватара пользователя
Stanny
Сообщения: 2
Зарегистрирован: 24 ноя 2018, 11:45
Откуда: Москва

gmx писал(а): 28 ноя 2018, 09:36 Как предположение...
По всякому пробовал. С маршрутами все в порядке. Даже удалял их заново создавал, думал может что-то с кешем. Причем что на основном провайдере, что на резервном центрального офиса такая фигня.
Для успокоения настроил на аварийного провайдера с детской скоростью. На нем также соединение отваливается, но восстанавливается само! Дэвид Блейн отдыхает


djvmb
Сообщения: 1
Зарегистрирован: 08 янв 2022, 08:21

Та же самая проблема! Если моргнул канал: пишет, что связь установлена, а трафика нет. Иногда помогает PING с удалённого роутера и канал поднимается. Иногда нужно в ipsec сделать Flush сессий. Только потом PING начинает идти.


dedForget
Сообщения: 1
Зарегистрирован: 07 авг 2023, 05:08

Столкнулся с такой же проблемой, я новичок за что заранее извиняюсь. Проблема возникает при сбое соединения, и не восстанавливается самостоятельно. После отключения/подключения пира и удаления соединения трафик начинает бегать. Может кто знает как решить проблему так, чтобы он автоматически восстанавливал движение трафика по туннелю?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну, нужно писать скрипт, который будет мониторить тоннель и перезагружать его или весь микротик...


svetogor82
Сообщения: 154
Зарегистрирован: 17 апр 2014, 10:44

если используете 7 версию то можно по пробовать перейти на wireguard


Ответить