в работе IPSec между Ultra II и Giga II постоянно падает

[grishairk]

Здравствуйте, уважаемые форумчане!

У меня поднят IPSec туннель между Keenetic Ultra II и Keenetic Giga II. На роутерах установлены тестовые прошивки v2.08(AAUX.5)A11 и v2.08(AAFS.5)A11 соответственно.  Настройка туннеля производилась по статье №4857 из базы знаний (https://zyxel.ru/kb/4857/). Keenetic Ultra II подключен к Ростелекому (PPPoE) и имеет белый динамический IP. Keenetic Giga II работает через USB модем от Мегафона и имеет серый IP. 

Проблема такая: Туннель постоянно падает, работает какое-то время, потом связь обрывается, а через какое-то время опять восстанавливается.... Три этом интернет на обоих роутерах работает стабильно. По крайней мере в вэбинтерфейсе обоих роутеров "Время работы" роутера и "Длительность" подключения совпадают.

Подскажите в чем может быть проблема?

 

[ndm]

@grishairk Проверьте, по сабжу были изменения в версии 2.09.A.1.0-2.

[Le ecureuil]

В 12/9/2016 в 05:51, grishairk сказал:

Здравствуйте, уважаемые форумчане!

У меня поднят IPSec туннель между Keenetic Ultra II и Keenetic Giga II. На роутерах установлены тестовые прошивки v2.08(AAUX.5)A11 и v2.08(AAFS.5)A11 соответственно.  Настройка туннеля производилась по статье №4857 из базы знаний (https://zyxel.ru/kb/4857/). Keenetic Ultra II подключен к Ростелекому (PPPoE) и имеет белый динамический IP. Keenetic Giga II работает через USB модем от Мегафона и имеет серый IP. 

Проблема такая: Туннель постоянно падает, работает какое-то время, потом связь обрывается, а через какое-то время опять восстанавливается.... Три этом интернет на обоих роутерах работает стабильно. По крайней мере в вэбинтерфейсе обоих роутеров "Время работы" роутера и "Длительность" подключения совпадают.

Подскажите в чем может быть проблема?

 

В свежих сборках много изменений по части стабильности, попробуйте их.

[grishairk]

В 21.01.2017 в 03:55, ndm сказал:

@grishairk Проверьте, по сабжу были изменения в версии 2.09.A.1.0-2.

Стабильность однозначно стала лучше, но за 4 дня тестирования было замечено 1 падение VPN соединения... логи к сожалению сохранить не успел,... Наблюдаю, жду следующего разрыва.... Как поймаю разрыв, постараюсь скинуть логи.

Спасибо за исправления!

[grishairk]

1 час назад, grishairk сказал:

Стабильность однозначно стала лучше, но за 4 дня тестирования было замечено 1 падение VPN соединения... логи к сожалению сохранить не успел,... Наблюдаю, жду следующего разрыва.... Как поймаю разрыв, постараюсь скинуть логи.

Спасибо за исправления!

Поймал падение. В вэб интерфейсе  keenetic Ultra II (сервер), в системном мониторе, на вкладке IPSec VPN соединение отображается серой галочкой. А у Keenetic Giga II (клиент) соединение отображается зеленой галочкой (см. приложенные скины). При этом с обоих сторон пинги на подсеть за VPN-ом не проходят....

Логи и селфтест прилагаю, логи сняты после того как IPSecVPN заново поднялся.

[Makson4ik]

Точно такая же проблема, туннель между двумя Keenetic Extra у обоих версия v2.08(AANS.0)C1, интернет стабильный, но постоянно падает Ipsec....что делать? помогите))

 

Еще keenetic который клиент пишет постоянно вот такую штуку - 

Mar 03 11:09:37ndm

IpSec::IpSecVici: IPsec statistics is obsoleted (is strongswan dead?).

 

Изменено 3 марта, 2017 пользователем Makson4ik

[halt]

Здравствуйте.

 

Отпишусь по решению проблемы.

IPSEC - Keenetic Viva <-->Keenetic Ultra II

Проблема: падает IPSEC с периодичностью 3-4 часа, оба роутера показывают статус IPSEC "зеленый" но при этом трафик не ходит.Помогает включить/выключить IPSEC.

Cмена прошивок,переход на отладочную версию не помогла, 

Помогло выставление IKE версии 2. (IKEv2). Канал работает уже сутки. Может кому будет полезно.

[Helg]

Проблема та же, один в один.

Заметил что при смене ключей " Время смены ключей, Фаза 1 / Фаза 2 " контакт восстанавливается, а затем через какое то время пропадает.

Попробую IKEv2 поставить...

[T@rkus]

Giga II 2.09.A.4.0-1; Giga II, KII 2.08 C1 Аналогично 

 

[T@rkus]

@Le ecureuil Не подскажите когда все это дело почините ? А то времени много прошло,а туннель как падал так и падает. Бывает нужно срочно воспользоваться а туннель лежит 

[Le ecureuil]

1 час назад, T@rkus сказал:

@Le ecureuil Не подскажите когда все это дело почините ? А то времени много прошло,а туннель как падал так и падает. Бывает нужно срочно воспользоваться а туннель лежит 

"Машина уже в пути"

Никак руки не доходят, но записано и однозначно скоро будет сделано.

[Alexey Putnenko]

Добрый вечер,

Была связка туннель (центральный офис) Ultra II <- (удаленный офис) Giga III  (AES-256, SHA1 / AES-128, SHA1), на обоих роутерах статические реальные IP.  Дополнительно на Ultra II был настроен сервер IPsec Virtual IP для доступа удаленных клиентов.

После обновления на прошивку v2.08(AAUX.0)C2, работает или тунель или сервер. 

Есть ли возможность работы одновременно и тунеля и сервера?

Спасибо.

Изменено 26 апреля, 2017 пользователем Alexey Putnenko

[Le ecureuil]

13 часа назад, Alexey Putnenko сказал:

Добрый вечер,

Была связка туннель (центральный офис) Ultra II <- (удаленный офис) Giga III  (AES-256, SHA1 / AES-128, SHA1), на обоих роутерах статические реальные IP.  Дополнительно на Ultra II был настроен сервер IPsec Virtual IP для доступа удаленных клиентов.

После обновления на прошивку v2.08(AAUX.0)C2, работает или тунель или сервер. 

Есть ли возможность работы одновременно и тунеля и сервера?

Спасибо.

На 2.08 это невозможно. Была специально добавлена проверка для того, чтобы отключать несовместимые по настройкам туннели, поскольку это так или иначе ведет к труднодиагностируемым проблемам и регулярным отвалам соединения.

В 2.09 все еще ведется работа по уточнению этой проверки, возможно в будущем удастся разрешить некоторые сейчас запрещенные конфигурации.

[Le ecureuil]

В 4/18/2017 в 12:01, T@rkus сказал:

@Le ecureuil Не подскажите когда все это дело почините ? А то времени много прошло,а туннель как падал так и падает. Бывает нужно срочно воспользоваться а туннель лежит 

В пятничной сборке draft наконец-то должно выйти "окончательное решение туннельного вопроса"  Пробуйте, если падения будут продолжаться - продолжим работу.

[grishairk]

На крайней прошивке IPSec VPN вообще перестал подниматься..... Пробовал перенастраивать заново не помогает! Логи и селфтесты прилагаю.

[T@rkus]

3 часа назад, grishairk сказал:

На крайней прошивке IPSec VPN вообще перестал подниматься..... Пробовал перенастраивать заново не помогает! Логи и селфтесты прилагаю.

2.09.A.7.0-2 Подтверждаю

[Le ecureuil]

Проверим.

[T@rkus]

@Le ecureuilGiga III 2.09.A.7.0-3; Giga II 2.09.A.7.0-3; KII v2.08.C2

На прошивке 2.09.A.7.0-3 туннели вновь стали подниматься. Но падение как было так и есть.

Натянул туннели IPSec VPN между KII v2.08.C2-->Giga II 2.09.A.7.0-3->Giga III 2.09.A.7.0-3. Упали оба где-то через час. 

Self-testы прилагаю.

Изменено 13 мая, 2017 пользователем T@rkus

[Le ecureuil]

У вас слегка несовместимые настройки, IKEv1 плохо работает с несколькими туннелями сразу как ответчик с разными PSK.

Попробуйте везде перейти на IKEv2, должно помочь.

[T@rkus]

В 13.05.2017 в 21:40, Le ecureuil сказал:

У вас слегка несовместимые настройки, IKEv1 плохо работает с несколькими туннелями сразу как ответчик с разными PSK.

Попробуйте везде перейти на IKEv2, должно помочь.

С IKEv2 падения прекратились. Решил по экспериментировать. Оставил туннель между KII 2.08.C2 <- Giga II 2.09.A.7.0-3 на IKEv1.Падения возобновились. На IKEv2 падений нет. Что не так с IKEv1? Self-testы прилагаю.

[Le ecureuil]

В 5/16/2017 в 14:04, T@rkus сказал:

С IKEv2 падения прекратились. Решил по экспериментировать. Оставил туннель между KII 2.08.C2 <- Giga II 2.09.A.7.0-3 на IKEv1.Падения возобновились. На IKEv2 падений нет. Что не так с IKEv1? Self-testы прилагаю.

Просто перейдите на IKEv2, это проще, чем решать проблемы, "встроенные" в протокол IKEv1.

[grishairk]

Да, на IKEv2 падений вроде нет, спасибо!

[cocojambo]

Падает соединение при сильных группах DH (17,18)

Giga 3 2.10.C.1.0-0 (ожидающая сторона)

Lite 3 rev.B v2.08(AAUQ.4)C2 (инициирующая сторона)

 

IKE v2

Фаза 1 AES-256, SHA512, DH14

Фаза 2 AES-256, SHA256, DH14

Все Ok, не падает.

 

IKE v2

Фаза 1 AES-256, SHA512, DH17

Фаза 2 AES-256, SHA256, DH17

Поднимается, через некоторое время падает, дальше не поднимается.

 

IKE v2

Фаза 1 AES-256, SHA512, DH18

Фаза 2 AES-256, SHA256, DH18

Не поднимается вообще.

 

Self-тесты сделал, но приложу только если совсем без них нельзя ))

[cocojambo]

Еще такой вопрос к администраторам. Если у инициатора соединения IPsec пропадает доступ в сеть и заново появляется, IPsec не поднимается автоматом. Необходимо роутер перезагрузить или ждать часа 2. Как можно настроить, чтобы устранить этот прикол? Пробовал убирать/выставлять Nailed-up, время жизни IKE и SA, но не помогает. Еще есть приколюха с неверно отображаемым временем смены ключей: 

[Le ecureuil]

Обновите инициатор, в 2.10 все это уже давно поправлено.

[Le ecureuil]

В 12/16/2017 в 03:41, cocojambo сказал:

Падает соединение при сильных группах DH (17,18)

Giga 3 2.10.C.1.0-0 (ожидающая сторона)

Lite 3 rev.B v2.08(AAUQ.4)C2 (инициирующая сторона)

 

IKE v2

Фаза 1 AES-256, SHA512, DH14

Фаза 2 AES-256, SHA256, DH14

Все Ok, не падает.

 

IKE v2

Фаза 1 AES-256, SHA512, DH17

Фаза 2 AES-256, SHA256, DH17

Поднимается, через некоторое время падает, дальше не поднимается.

 

IKE v2

Фаза 1 AES-256, SHA512, DH18

Фаза 2 AES-256, SHA256, DH18

Не поднимается вообще.

 

Self-тесты сделал, но приложу только если совсем без них нельзя ))

Оставайтесь на первом варианте, пока DH5 и может чуть выше вполне достаточно, чтобы никто за разумное время не вскрыл ваш трафик. На вашем железе с DH18 процессор просто не успевает сгенерить и проверить ключи.

[cocojambo]

On 19.12.2017 at 8:51 PM, Le ecureuil said:

Оставайтесь на первом варианте, пока DH5 и может чуть выше вполне достаточно, чтобы никто за разумное время не вскрыл ваш трафик. На вашем железе с DH18 процессор просто не успевает сгенерить и проверить ключи.

Спасибо, уже вкурил. DH 16 вроде работает стабильно.