Количество активных IPsec-политик RB1100AHx4

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
Ответить
Vilki
Сообщения: 2
Зарегистрирован: 25 фев 2019, 14:20

Добрый день.
Это устройство (Mikrotik RB1100AHx4) покупалось для одновременного функционирования 150 IPsec VPN-тоннелей Site-to-Site. Пока идет тестирование, и строился только один VPN-тоннель (он работает с аппаратным ускорением), но было замечено, что после перезагрузки роутера из 150 одновременно активных IPsec-политик (IPsec-policy) - первые 124 политики находятся в состоянии "прослушивания" (т.е. никакого флага при выводе командой print не выставлено; каждая политика имеет один peer, и peer имеет настройку Passive=yes, Send-initial-contact=no),остальные имеют состояние "Invalid" (флаг I). Если выставить первым десяти политикам Disabled=yes, и перезагрузить роутер, то количество политик в состоянии "прослушивания" не изменится - 124 штуки, в них войдут 10 политик, которые были в состоянии "Invalid" до перезагрузки, остальные политики останутся в состоянии "Invalid".
Таким образом, имеет место быть постоянное число политик в состоянии "прослушивания" - первые 124 штуки, остальные переходят в состояние Invalid.
В логах записи "ipsec,error" "no policy found/generated"
Если попытаться подключить оборудование другой стороны тоннеля для построения IPsec VPN-тоннеля с политикой, получившей флаг "I", то тоннель не поднимается.
В логах записи "no policy found/generated"

Еще нюанс поведения - если перезагрузить роутер с ipsec политиками в состоянии "disabled=yes", а затем перевести их в состяние "disabled=no", то политики не получают флаг "I".
Любые комбинации значений Passive и Send-initial-contact у всех peer-ов не влияют на результат в том смысле, что первые 124 политики, которые не Disabled=yes, находятся в состоянии "прослушивания", остальные в состоянии "Invalid".

Собственно, вопрос к знатокам - имеются ли какие-либо теоретические ограничения на количества IPsec-политик в RouterOS или оборудовании RB1100AHx4 ? Или это мои настройки ? Прошивка 6.43.8 (stable).


Vilki
Сообщения: 2
Зарегистрирован: 25 фев 2019, 14:20

Отвечаю: после обновления на RouterOS до версии 6.44 проблема исчезла.


Ответить