IPsec: состояние политик постоянно меняется
Добавлено: 26 апр 2021, 14:19
Соединил микротик (CCR1009 v6.48.1) c фортигейтом (FortiGate 100E) по IPsec.
Проблема в том, что за фортигейтом штук 10 подсетей (поэтому на микротике 10 политик).
И после всех настроек состояние у политик циклически меняется: established, msg1 sent, getspi sent, no phase2.
И при простом пинге получаю до 30% потерь пакетов.
Если я выключаю часть политик (5 и меньше), тогда у всех статус становится established и не меняется.
Что надо донастроить?
Вот конфиг микротика:
Проблема в том, что за фортигейтом штук 10 подсетей (поэтому на микротике 10 политик).
И после всех настроек состояние у политик циклически меняется: established, msg1 sent, getspi sent, no phase2.
И при простом пинге получаю до 30% потерь пакетов.
Если я выключаю часть политик (5 и меньше), тогда у всех статус становится established и не меняется.
Что надо донастроить?
Вот конфиг микротика:
Код: Выделить всё
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=3des,des name=fortigate
/ip ipsec peer
add address=<fortigate_ip>/32 name=fortigate_ip profile=fortigate
/ip ipsec proposal
add enc-algorithms=3des,des name=fortigate_phase2 pfs-group=modp1536
/ip ipsec identity
add peer=fortigate_ip secret=<secret string>
/ip ipsec policy
add dst-address=172.31.0.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.1.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.2.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.3.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.4.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.6.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.7.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
add dst-address=172.31.8.0/24 peer=fortigate_ip proposal=fortigate_phase2 sa-dst-address=<fortigate_ip> sa-src-address=<local_ip> src-address=10.2.0.0/16 tunnel=yes
...