Страница 1 из 4
Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 06:26
dskdimon
Здравствуйте. Помогите, плииз, разобраться. Есть два "клиентских" микротика 3011 и один "клиентский" 951, они соединены с ещё одним "серверным" 3011 GRE туннелями. И вроде всё прекрасно работает, НО если на одном из "клиентских" микротиков пропадает связь, то, при восстановлении связи на "клиентском" микротике, GRE интерфейс с ним не переходит в состояние "Running". При этом в логе всегда появляется запись ISAKMP-SA established.
Я никак не могу понять, что нужно GRE интерфейсу, чтобы автоматически при восстановлении связи перейти в состояние Running??!!
При этом этот глюк не постоянный, т.е. примерно в 50% случаев GRE всё таки поднимается автоматом.
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 06:55
vqd
Вы начните с анализа самой проблемы. Связь пропала, ГРЕ не поднялся. Собственно смотрите соединения, что куда и в каком виде приходит. Тогда и станет понятно чего он не поднимается то. Отключите тот же ИП сек что бы сначала с чистым ГРЕ разобратся
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 07:06
dskdimon
Подскажите как отключить IPSec так, чтоб сам туннель работал? В каком меню? Желательно только для одного туннеля. Настройки IPSec у меня дефолтные, GRE-туннели создавал через меню интерфейсов.
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 07:22
vqd
Ну я не думаю что вы специально настраивали ИпСек, поэтому в настройках ГРЕ
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 07:28
dskdimon
Т.е. просто убрать IPSec secret в настройках GRE-туннеля? Верно я Вас понял?
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 09:05
vqd
dskdimon писал(а): ↑21 окт 2019, 07:28
Т.е. просто убрать IPSec secret в настройках GRE-туннеля? Верно я Вас понял?
да
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 09:14
dskdimon
Ок, сделал. Буду мониторить.
Спасибо за подсказку
Re: Не "поднимается" GRE интерфейс
Добавлено: 21 окт 2019, 10:32
xvo
Какие версии прошивки на устройствах?
На новых прошивках поправлена уязвимость, когда gre-туннель поднимался, даже если не было соответствующих разрешающих правил в firewall'е.
Так что если на одном конце туннеля у устройства старая прошивка, на другом - новая, то при некорректной настройке firewall'а такой туннель будет подниматься "через раз", в зависимости от того, какой из концов туннеля успевает отправить первый пакет.
Re: Не "поднимается" GRE интерфейс
Добавлено: 22 окт 2019, 02:53
dskdimon
Прошивки действительно "не последние" - исправлю!
Объясните, пожалуйста, подробнее, что Вы имеете в виду под: "в зависимости от того, какой из концов туннеля успевает отправить первый пакет"?
Как корректно настроить GRE-туннель с IPSec, чтобы первый пакет "правильно" отправлялся нужным роутером?
Какой роутер по Вашему в моей схеме должен отправлять "первый" пакет: "серверный" или "клиентский"?
Re: Не "поднимается" GRE интерфейс
Добавлено: 22 окт 2019, 07:01
xvo
Правильно настроенному туннелю все равно, кто отправляет первый пакет. GRE - это stateless туннель, у него нет такого понятия как клиент или сервер.
Сначала убедитесь, что проблема вообще именно в этом.
На всех роутерах с прошивкой старше 6.45.x должны быть разрешающие GRE правила firewall'а. Плюс там с этим есть пока неисправленный баг, что если вдруг выключен pptp-helper, то первый gre-пакет пакет ошибочно попадает под drop стандартного правила сбрасывающего invalid пакеты. В общем, pptp-helper должен быть включен.