Пропадает траффик ipsec туннеля после сбоя интернета
Добавлено: 24 ноя 2018, 12:15
Здравствуйте!
У меня есть центральный офис и 3 филиала по России. Все подключены по ipsec к центру. Все было замечательно пока в одном из филиалов не начали объединяться провайдеры. Теперь по нескольку раз он дню они дропают соединения. Выливалось это в ошибку шифрования туннеля. Выставит DPD, стало заметно лучше, но не идеально. Периодически после отвала, соединение восстанавливается, статус указан "established", но траффик перестает ходить. По логам все в порядке. Помогает только ребут роутера, причем каждый то решается перезагрузкой уделенного, то центрального. Проблем с другими туннелями никогда не было. Настройки одинаковые. Может кто сталкивался с подобным? Хотелось бы как то без костылей решить проблему.
Версия везде 6.43.4
/ip ipsec> peer print
address=### local-address=### profile=PROF1 auth-method=pre-shared-key secret="###"
generate-policy=port-override policy-template-group=default exchange-mode=main send-initial-contact=yes
compatibility-options=skip-peer-id-validation
/ip ipsec> peer profile pr
name="PROF1" hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp1024 lifetime=8h proposal-check=obey nat-traversal=yes
dpd-interval=1m dpd-maximum-failures=2
/ip ipsec> policy pr
DA src-address=192.168.4.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique
ipsec-protocols=esp tunnel=yes sa-src-address=### sa-dst-address=### proposal=PROP1 ph2-count=3
У меня есть центральный офис и 3 филиала по России. Все подключены по ipsec к центру. Все было замечательно пока в одном из филиалов не начали объединяться провайдеры. Теперь по нескольку раз он дню они дропают соединения. Выливалось это в ошибку шифрования туннеля. Выставит DPD, стало заметно лучше, но не идеально. Периодически после отвала, соединение восстанавливается, статус указан "established", но траффик перестает ходить. По логам все в порядке. Помогает только ребут роутера, причем каждый то решается перезагрузкой уделенного, то центрального. Проблем с другими туннелями никогда не было. Настройки одинаковые. Может кто сталкивался с подобным? Хотелось бы как то без костылей решить проблему.
Версия везде 6.43.4
/ip ipsec> peer print
address=### local-address=### profile=PROF1 auth-method=pre-shared-key secret="###"
generate-policy=port-override policy-template-group=default exchange-mode=main send-initial-contact=yes
compatibility-options=skip-peer-id-validation
/ip ipsec> peer profile pr
name="PROF1" hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp1024 lifetime=8h proposal-check=obey nat-traversal=yes
dpd-interval=1m dpd-maximum-failures=2
/ip ipsec> policy pr
DA src-address=192.168.4.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all action=encrypt level=unique
ipsec-protocols=esp tunnel=yes sa-src-address=### sa-dst-address=### proposal=PROP1 ph2-count=3