951Ui-2HnD не восстанавливает ipsec туннель после отключения интернета

Обсуждение оборудования и его настройки
Ответить
z0rg59r
Сообщения: 4
Зарегистрирован: 14 мар 2016, 06:22

Mikrotik 951Ui-2HnD v6.34.3
1й порт интернет pppoe (stat IP)
2й порт LAN
Поднят vpn туннель ipsec между Mikrotik и Ubuntu сервером. Все работает отлично, пока на Микротике не произойдет disconnect/reconnect интернета на устройстве.
после этого помогает только перезагрузка микротика.
Пробовал скриптами и без вкл/выкл ipsec peer, вкл/выкл ethernet порта, flush SA, не помогает. На Ubuntu, так же запущен скрипт проверки туннеля пингом, и рестартом ipsec сервиса.
Подскажите, что еще можно попробовать, чтобы не перезагружать микротик, в случае падения интернета?
Последний раз редактировалось z0rg59r 14 мар 2016, 08:43, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну так ответе сначала на вопрос:- "А почему он не восстанавливается?"
Я бы в момент проблемы начал сперва смотреть чего там с соединением происходит, выверил адреса назначеня и ответа ну и т.д.


Есть интересная задача и бюджет? http://mikrotik.site
z0rg59r
Сообщения: 4
Зарегистрирован: 14 мар 2016, 06:22

В момент соединения создается подключение remote peer, но ключи SA не появляются. Все адреса верны, интернет IP адреса c обеих сторон статичные.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так вот и смотрите свойства самого соединения, чего там написано в момент когда оно работает и когда оно не работает
Смотреть разумеется в фаерволе - соеденения


Есть интересная задача и бюджет? http://mikrotik.site
z0rg59r
Сообщения: 4
Зарегистрирован: 14 мар 2016, 06:22

посмотрел соединения в фаерволе: после реконнекта pppoe появляется соединение с внешнего адреса микротика на внешний адрес убунту через udp(500), и на этом все, ключи SA не появляются((.
После перезагрузки микротика, появляется это же соединение, а так же еще одно с внешнего адреса убунту на внешний адрес микротика через 50й протокол esp ipsec. в таком случае туннель работает и ключи SA появляются.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну вот уже что то )))

Теперь смотри свойства соединений и выверяем там и смотрим чего вино со стороны убунту


Есть интересная задача и бюджет? http://mikrotik.site
z0rg59r
Сообщения: 4
Зарегистрирован: 14 мар 2016, 06:22

На убунту в логах при попытке инициализировать соединение ipsec: Packet from (ip микортика )Received Vendor ID payload [Dead Peer Detection]. через 20 сек. снова попытка инициализации итд, пока не перезагрузишь микротик.
 конфиг ipsec 1.1.1.1 ip ubuntu
/ip ipsec policy group
set
/ip ipsec proposal
add disabled=yes enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=\
"vpn-tunnel proposal1" pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 comment=l2tp-clients-peers enc-algorithm=3des \
exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 \
passive=yes secret=secret
add address=1.1.1.1/32 comment=ipsec-tunel-peers dpd-maximum-failures=7 \
enc-algorithm=3des generate-policy=port-override hash-algorithm=md5 lifetime=\
1h nat-traversal=no secret=secret


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

а в свойствах соединений чего?


Есть интересная задача и бюджет? http://mikrotik.site
Ответить