IPsec туннель не восстанавливается без перезагрузки устройства

Обсуждение оборудования и его настройки
Ответить
hikauz
Сообщения: 1
Зарегистрирован: 27 сен 2019, 17:23

Народ день добрый,

Очень нужна помощь, поскольку сами не смогли осилить.

Имеется IPsec VPN туннели site-to-site, в центре Fortigate 200D (175.185.27.136), а в филиалах около 60 Mikrotik RB2011UiAS-RM (многие static Public IP over Ethernet/PPPoE, часть over NAT с forwarding на роутере провайдера 500/4500 UDP, и немного DDNS, поскольку их DHCP WAN IP все время меняется) разбросаны по всему миру.
С удаленных филиалов имеется доступ к DMZ zone (172.130.30.0/24).

Почти все микротики имеют идентичный конфиг, основная разница - некоторые проходили несколько обновлений (5-6 раз за 2 года), правила файрвола в зависимости от типа WAN IP (Public, NAT, DynDNS) и наличия VLAN в сети.
На Fortigate 200D конфиг идентичный, за исключением типа подключения удаленного филиала - static IP или Dynamic DNS

Возникла большая проблема.
Некоторые микротики после того как туннель упал (по разной причине) не восстанавливают подключение (no phase2).
Замечено, что в это время на Fortigate 200D может быть:
1. Туннель тоже упал. В этом случае только перезагрузка микротика восстанавливает туннель. Безуспешно пытались flush Active peers и installed SAs, а также disable/enable на вкладках Peers/Identities/Policies. ТОЛЬКО ПОЛНАЯ ПЕРЕЗАГРУЗКА ПОМОГАЕТ всегда.
2. Туннель активный. В этом случае часто (НО НЕ ВСЕГДА) принудительная остановка туннеля на Fortigate 200D позволяет восстановить канал. Получается что Fortigate 200D считает канал активным, а Mikrotik RB2011 упавшим. Иногда disable/enable и flush на обоих устройствах не помогает. Тогда только полная перезагрузка.

В первое время такое было часто (2 года назад), пока мы не сделали идентичным Dead peer detection на обоих устройствах (через месяц после установки). Потом вроде все нормально работало (да были сбои, но единичные и в месяц или в 2 месяца раз). Сейчас на некоторых устройствах периодически.

Поддержка как Fortigate , так и Mikrotik пока не помогает.

Люди добрые помогите.
log.zip
Логи и конфиг Mikrotik, а также конфиг Fortigate
(29.12 КБ) 289 скачиваний
Изображение


Ответить