Падает L2TP при окончании IPSec Proposal Lifetime

[corder]

Добрый день. Имею два микротика, один выступает в роли сервера, другой - клиент. Сервер имеет белый статичный IP, к нему подключается клиент, который имеет серый IP, да не просто серый, а перед ним стоит еще два чужих роутера. Роутер-клиент имеет IP на WAN 192.168.192.50.

Устанавливается L2TP соединение с IPSEC, все работает, но по истечении времени, указанному в Lifetime параметров IPSec Proposal соединение терминируется, после чего устанавливается снова и так снова пока не пройдет заданное количество времени (в моем случае стандарт - 30 минут).

По логам на клиенте выглядит так:

Код: Выделить всё

08:18:08 l2tp,ppp,info uer-1: terminating... - session closed 
08:18:08 l2tp,ppp,info uer-1: disconnected 
08:18:08 l2tp,ppp,info uer-1: initializing... 
08:18:08 l2tp,ppp,info uer-1: connecting... 
08:18:08 l2tp,ppp,info uer-1: terminating... - old tunnel is not closed yet 
08:18:08 l2tp,ppp,info uer-1: disconnected 
08:18:08 l2tp,ppp,info uer-1: initializing... 
08:18:08 l2tp,ppp,info uer-1: connecting... 
08:18:08 l2tp,ppp,info uer-1: terminating... - old tunnel is not closed yet 
08:18:08 l2tp,ppp,info uer-1: disconnected 
08:18:08 l2tp,ppp,info uer-1: initializing... 
08:18:08 l2tp,ppp,info uer-1: connecting... 
08:18:32 l2tp,ppp,info uer-1: terminating... - session closed 
08:18:32 l2tp,ppp,info uer-1: disconnected 
08:18:33 l2tp,ppp,info uer-1: initializing... 
08:18:33 l2tp,ppp,info uer-1: connecting... 
08:18:57 l2tp,ppp,info uer-1: terminating... - session closed 
08:18:57 l2tp,ppp,info uer-1: disconnected 
08:18:58 ipsec,info ISAKMP-SA deleted 192.168.192.50[500]-000.000.000.000[500] spi:4f70154a8e251cdc:54b4a556b2cd13ec rekey:1 
08:18:58 l2tp,ppp,info uer-1: initializing... 
08:18:58 l2tp,ppp,info uer-1: connecting... 
08:18:58 ipsec,info initiate new phase 1 (Identity Protection): 192.168.192.50[500]<=>000.000.000.000[500] 
08:18:59 ipsec,info ISAKMP-SA established 192.168.192.50[500]-000.000.000.000[500] spi:387af02cdc3e3041:1115e797d9be8267 
08:19:00 l2tp,ppp,info uer-1: authenticated 
08:19:00 l2tp,ppp,info uer-1: connected

По логам на сервере вот так (время событий разное, но ситуация одинаковая):

Код: Выделить всё

15:22:21 l2tp,ppp,info af_1: terminating... - hungup 
15:22:21 l2tp,ppp,info,account af_1 logged out, 1464 26666924 9006281 30710 29089 from 100.100.100.100 
15:22:21 l2tp,ppp,info af_1: disconnected 
15:23:03 ipsec,info purging ISAKMP-SA 000.000.000.000[500]<=>100.100.100.100 [296] spi=878fcf1ceca39da2:73fa0d1157c51ccb. 
15:23:03 ipsec,info ISAKMP-SA deleted 000.000.000.000[500]-100.100.100.100 [296] spi:878fcf1ceca39da2:73fa0d1157c51ccb rekey:1 
15:23:03 ipsec,info respond new phase 1 (Identity Protection): 000.000.000.000[500]<=>100.100.100.100 [296] 
15:23:04 ipsec,info ISAKMP-SA established 000.000.000.000[500]-100.100.100.100[296] spi:c654be5cc0e73da1:bae9658c9f52ee9b 
15:23:05 l2tp,info first L2TP UDP packet received from 100.100.100.100  
15:23:05 l2tp,ppp,info,account af_1 logged in, 10.10.0.4 from 100.100.100.100  
15:23:05 l2tp,ppp,info af_1: authenticated 
15:23:05 l2tp,ppp,info af_1: connected 

000.000.000.000 - обозначен внешний адрес сервера
100.100.100.100 - это внешний адрес, с которым клиент выходит в интернет

Есть точно такой же роутер-клиент, который подключен к провайдеру нормально и имеет белый статичный IP, на нем таких проблем не наблюдается.
Сперва подумал, что это на стороне провайдера сбрасывается сессия каждые полчаса, пробовал наблюдать поведение в Traceroute, но там в момент отвала L2TP ничего плохого не фиксировалось.

Учитывая, что с другим провайдером, где белый IP, таких проблем нет, у меня пали подозрения на то, что это из за того, что роутер-клиент получает интернет даже не через одного, а через двух посредников (сперва интернет заходит на один роутер, от него расходится еще на несколько и от какого то из них подключен уже мой роутер-клиент, такую вот дебильную схему раздачи интернета внедрили на предприятии, где у нас арендован офис).

[Sertik]

Какое значение имеет через сколько роутеров проходит соединение, если оно проходит ?
Через сколько роутеров проходит соединение от Вашего провайдера наверх Вы знаете ?

[corder]

Какое значение имеет через сколько роутеров проходит соединение, если оно проходит ?
Через сколько роутеров проходит соединение от Вашего провайдера наверх Вы знаете ?

Почему только на данной точке подключения такая проблема наблюдается?
Про количество роутеров я упомянул, что конечное устройство получает ip адрес не прямой, по которому можно будет постучаться из интернета, а серый.
Но вот в чем порадокс, если в этот же роутер воткну usb модем с симкой, где тоже будет серый ip, таких отвалов не будет, будет аптайм несколько дней.
Может есть какие то хитрости при работе с ipsec, если хотя бы одна сторона находится за nat? (В данном случае клиент)

[xvo]

Посмотрите, чтобы время обе машины корректно по NTP получали.
Ну и чтобы profile и proposal совпадали между ними.

[corder]

В общем ситуация вроде разрешилась после того как я поменял IP адреса в свойствах профиля L2TP подключения на сервере. Были 10.10.0.1 и 10.10.0.4, поменял на 10.58.3.1 и 10.58.3.2, теперь соединение не падает и уже 8 часов аптайм.
Не знаю, видимо в сети предприятия где то на промежуточных устройствах тоже есть такие IP и возможно был конфликт, хотя по идее не должно было быть, ведь я был за NAT, но других мыслей нет. Проблема была конкретно с теми IP (10.10.0.1, 10.10.0.4) и конкретно на одной точке подключения. В моей сети точно ни у кого не было таких же IP, поэтому и мысли про провайдера и промежуточные устройства.