NC-1012, Zyxel Ultra II обновление до 5.0.1 крах из-за IPsec туннелей

[soft_warrior]

Доброго дня всем

Есть два роутера:

Было: Zyxel Ultra II v4.3.6.2

Стало: Netcraze Giga (NC-1012) v4.3.6.3.

это в данный момент - работающий NC-1018 в текущих режимах на указанной прошивке.

на текущем и на предыдущем настроено 10 туннелей :

1) 3 Шт входящих IKEv2 в одинаковых конфигурациях:

Спойлер

Фаза 1:
Протокол: IKEv2
Время жизни:86400
Шифрование IKE:DES
Проверка целостности: MD5
Группа DH:1
Фаза 2:
Режим: Туннель
Время жизни: 3600
Шифрование SA:DES
Целостность SA:MD5
Группа DH:-

 

2) 7 шт исходящих IKEv1 в одинаковых конфигурациях:

Спойлер

Фаза 1:
Протокол: IKEv1
Время жизни:10800
Шифрование IKE:3DES,AES-128
Проверка целостности: SHA1
Группа DH:5,14
Фаза 2:
Режим: Туннель
Время жизни: 3600
Шифрование SA:3DES,AES-128
Целостность SA:SHA1
Группа DH:-

"Key PSK" у всех одинаковый, т.к. ранее на более низких версий прошивках наблюдалось взаимное проникновение как разных ключей шифрования так и времени смены ключей в соседние туннели ( сейчас не проверял ), стараюсь делать идентичные для минимизации таких случайностей. делаешь одинаковые ключи - работают туннели, делаешь разные, начинается хаос, то ключ не подходит, то подходит... раньше когда то об этом писал.

Теперь о результате обновления:

обновлял Zyxel Ultra II, перезагрузка - все хорошо. туннели при установке соединения начинают моргать: в каждые несколько секунд обновляя ключи и теряя связь... стабильная работа туннелей естественно невозможна.

если остановить 5 из 7 ike1, то оставшиеся два жили вроде нормально... но такое конечно не вариант. возвращался на рабочую прошивку.

взял NC-1012:

вручную выставил аналогичную ситуацию, передал на него запись keendns, уменьшил разницу между туннелями даже в именах  пунктов local и remote.

обновление вообще уронило роутер в ступор на несколько минут, на web интерфейс не возможно было зайти минут 10, потом так и не смог завершить отображение соединений 

пункт "Другие подключения" открывалась правая торона просто несколько минут, и так и не закончла открываться. 
одна часть - "IPsec-подключения сеть—сеть" висела в "Загрузка...." уже минут 40, без изменений.

в журнале log прилично ошибок. self тест не скачивается - таймаут браузера (приложу в сообщении лог файл в архиве)

сбросил до заводских

настроил все вручную на 5.0.1

без автоустановки соединения было без ошибок. попытка начать соединяться - ни один исходящий туннель не вышел в режим установлено соединений совсем.

визуально на форме есть так же ошибка отображения объема входящих и исходящих данных - там либо "0Б" либо какойто "тэг" —

 

Изменено 30 ноября пользователем soft_warrior

[FLK]

Машину времени чтоль купили?

NC-1018 где-то лет через 10 дай бог будет

[soft_warrior]

Реально не NC-1018 а NC-1012... новый девайс. не запомнил еще

[FLK]

Давайте вместе позовём сюда уважаемого @Le ecureuil 

Возможно он что-то сможет прояснить

[soft_warrior]

Реально сильно не хватает "пинг тестера соединения" для данного вида туннелей "IPsec подключения Сеть-Сеть".

т.к. если была проблема обновления ключей фазы 2 - то связи в туннеле фактически нет.

а он как бы остается "логически" цел и здоров... лишь для кинетика, помогает только его выкл/вкл или следующая попытка обновить ключи.

именно изза (каким то магическим образом) взаимно проникающих из туннеля в туннель psk-ключей и таймеров обновления ключей в старых прошивках

Изменено 30 ноября пользователем soft_warrior

[T3Rm0]

@soft_warriorДобрый вечер!

Посмотрел ваш конфиг, попробовал воспроизвести с одним входящим IKE2 и одним исходящим IKE1 соединением - после обновления и перезагрузки туннели поднимаются.

В ваших логах вижу ошибки:

no matching peer config found 

Это происходит в случае, когда не совпадают идентификаторы локального/удаленного шлюза на соединениях. Были ли изменения в конфигурации на стороне хоста или пиров?

Если включать соединения по одному, на каком количестве начинают падать? Или сразу с первого?

[soft_warrior]

В 02.12.2025 в 12:13, T3Rm0 сказал:

@soft_warriorДобрый вечер!

Посмотрел ваш конфиг, попробовал воспроизвести с одним входящим IKE2 и одним исходящим IKE1 соединением - после обновления и перезагрузки туннели поднимаются.

В ваших логах вижу ошибки:

no matching peer config found 

Это происходит в случае, когда не совпадают идентификаторы локального/удаленного шлюза на соединениях. Были ли изменения в конфигурации на стороне хоста или пиров?

Если включать соединения по одному, на каком количестве начинают падать? Или сразу с первого?

перед обновлением с v4.3.6.3 до 5.0.1 оставил 3 входящих IKEv2 - они на прошивке работали стабильно. по крайней мере один постоянно в онлайне точно был без рьновления времени обновления ключей. исходящие так же работали без ошибок, как три так и семь до удаления.

после обновления:

входящий IKEv2 стабильно соединяется. но к ним вопросов и небыло. счетчики трафика вход/исход считаются, показываются, ключи не прыгают

по исходящим IKEv1:

первый по списку туннель: моргает.

второй по списку туннель: живет. счетчик трафика на web показывает "—" на каждом направлении.

останавливаю второй туннель, первый моргать не перестает.

удаляю второй туннель, первый всеравно моргает.

перезагрузка роутера - все так же остается.

в след сообщении вложу два комплекта логов и селфтестов

 

[soft_warrior]

В 02.12.2025 в 12:13, T3Rm0 сказал:

no matching peer config found

Это от двух активно желающих подключиться кинетиков, т.к. на роутере были еще 2 пассивных туннеля.

я один выключил на активной стороне, второй добавил и настроил.

к текущим исходящим туннелям IKEv1, которые "не работают" не относятся.

в прикрепленных последних скрытых тестах и логах этой ошибки уже нет

Изменено Четверг в 10:30 пользователем soft_warrior

[soft_warrior]

вновь подтвердил (в 5.0.1 в том числе так и остался ) и заново нашел прямо Баг-Багов.  @Le ecureuil 

я уже про него писал неоднократно в чатах и в нескольких топиках.

для группы "IPsec сеть-сеть" IKEv1 туннелей есть прямо супер баг:

PSK ключ каким то образом получается один на всех. причем случайный из тех что указаны или последний по списку в конфигурациях...

как пятна на солнце покажут.

проверяется легко - создаются туннели сначала с одинаковыми PSK ключами, проверяем что все работает...

потом меняем ключи с двух сторон соотвественно на различные для каждого туннеля .... и получаем только один работающий туннель, остальные выпадают в ошибку - неверный ключ PSK.

если нужно - могу подтвердить селф тестом... долго только делать смену ключей с двух сторон.

Изменено Четверг в 14:19 пользователем soft_warrior

[T3Rm0]

В 04.12.2025 в 17:15, soft_warrior сказал:

вновь подтвердил (в 5.0.1 в том числе так и остался ) и заново нашел прямо Баг-Багов.  @Le ecureuil 

я уже про него писал неоднократно в чатах и в нескольких топиках.

для группы "IPsec сеть-сеть" IKEv1 туннелей есть прямо супер баг:

PSK ключ каким то образом получается один на всех. причем случайный из тех что указаны или последний по списку в конфигурациях...

как пятна на солнце покажут.

проверяется легко - создаются туннели сначала с одинаковыми PSK ключами, проверяем что все работает...

потом меняем ключи с двух сторон соотвественно на различные для каждого туннеля .... и получаем только один работающий туннель, остальные выпадают в ошибку - неверный ключ PSK.

если нужно - могу подтвердить селф тестом... долго только делать смену ключей с двух сторон.

Добрый вечер!
Проблему с отображением "&mdash" принято/отправлено для IKEv1 воспроизвели взяли в работу.

Случай, когда ломаются psk при наличии нескольких соединений, и ключи указаны разные, воспроизвести не удалось. Помимо IKEv1 + v2,  что еще из компонентов включено в момент появления проблемы?

[soft_warrior]

5 часов назад, T3Rm0 сказал:

Добрый вечер!
Проблему с отображением "&mdash" принято/отправлено для IKEv1 воспроизвели взяли в работу.

Случай, когда ломаются psk при наличии нескольких соединений, и ключи указаны разные, воспроизвести не удалось. Помимо IKEv1 + v2,  что еще из компонентов включено в момент появления проблемы?

технически из на страничке приложений - компоненты включены только такие:

VPN-сервер SSTP
VPN-сервер IKEv1/IPsec
VPN-сервер IKEv2/IPsec

момент с ключами - нужно сделать минимум 4-5 туннелей, разные PSK ключи в каждом. а не в одном из них.

технически у меня ведь 4 входящих IKEv2 и 7 исходящих IKEv1... итого 11 штук...

может массовость имеет значение в некоторых случаях...

нашел еще одну схему слома логики подключения туннелей

все туннели IKEv1 имеют одинаковую конфигурацию, разные только удаленные подсети в том числе по их колву ( по 1-2-3-4 подсети в туннелях).
уменьшил до минимума вариации настроек

Спойлер

Фаза 1:
Протокол: IKEv1
Время жизни:10800
Шифрование IKE:AES-128
Проверка целостности: SHA1
Группа DH:14
Фаза 2:
Режим: Туннель
Время жизни: 3600
Шифрование SA:AES-128
Целостность SA:SHA1
Группа DH:-

все соединены, все в порядке... 

выключаем последний по списку из 7 исходящих туннель, меняем ему в фазе 1 группу DH с "14" на "1", включаем - он естественно не соединяется.

теперь любой туннель IKEv1 из тех шести кто выше по списку, если ему сделать выкл/вкл, то он уже не сможет соединится, будет постоянный реконнект каждые 6-10 секунд.

стоит последний по списку туннель, что "неверно" настроен, выключить - то соединения установятся - и ошибки с реконнектом прекратятся.

после спокойно ему вернуть правильную настройку DH с 1 на 14 и запустить - другие туннели уже слетать каждые 6-10 секунд при выкл/вкл уже не будут.

это как раз чтото про проникновение настроек туннелей IKEv1 друг в друга... 

меня немного смущают в логах перекрестные загрузки/выгрузки непонятных PSK ключей между туннелями... вопрос зачем оно вообще нужно? 

ведь ключ индивидуален для одного туннеля, не для всех в перемешку... зачем оно так странно загружается? я чтото  не понимаю в логике этого туннеля?

Спойлер

ipsec: хх[CFG] loaded IKE shared key with id 'ИмяТуннеля1-ИмяТуннеля2-PSK' for: '"LocalName"', '"RemoteName"'

ipsec: хх[CFG] loaded IKE shared key with id 'ИмяТуннеля1-ИмяТуннеля3-PSK' for: '"LocalName"', '"RemoteName"'

ipsec: хх[CFG] loaded IKE shared key with id 'ИмяТуннеля1-ИмяТуннеля4-PSK' for: '"LocalName"', '"RemoteName"'

ipsec: хх[CFG] loaded IKE shared key with id 'ИмяТуннеля1-ИмяТуннеля5-PSK' for: '"LocalName"', '"RemoteName"'

ipsec: хх[CFG] loaded IKE shared key with id 'ИмяТуннеля2-ИмяТуннеля1-PSK' for: '"LocalName"', '"RemoteName"'

и т.д. каждый раз в логах 64 строки выгрузки, 64 строки загрузки разных вариаций ключей....

селфтест прикреплю в следующем скрытом сообщении

Изменено Пятница в 22:42 пользователем soft_warrior

[T3Rm0]

@soft_warrior Завели задачу в работу - NDM-4194