Перестал работать Site-to-Site IPSec Туннель после перехода на 5.0.10 прошивку с 4.3.7

[KonstantinM]

Всем доброго времени суток. Все прекрасно работало. Проапдейтился и все умерло...
GIGA KN-1012

IKEv2 AES-256 SHA256 на обе фазы. Кенетик инициирует связь. Это кратко о конфигурации.

Вот логи:
IpSec::Configurator: "ILP_Tunnel": remote peer is down.
Apr 25 09:16:47
ndm
IpSec::CryptoMapInfo: "ILP_Tunnel": crypto map active IKE SA: 0, active CHILD SA: 0, down.
Apr 25 09:16:47
ndm
IpSec::Configurator: "ILP_Tunnel": schedule reconnect.
Apr 25 09:16:47
ndm
IpSec::Configurator: "ILP_Tunnel": schedule reconnect.
Apr 25 09:16:47
ndm
IpSec::Config::CryptoMap: "ILP_Tunnel": scheduled reconnection after 3999 ms.
Apr 25 09:16:47
ipsec
05[IKE] establishing IKE_SA failed, peer not responding
Apr 25 09:16:47
ndm
Network::Interface::EndpointTracker: "ILP_Tunnel": reconnecting via "PPPoE0".
Apr 25 09:16:52
ndm
IpSec::Apply: missing IKE key for crypto map "VirtualIPServerIKE2".
Apr 25 09:16:52
ndm
IpSec::Config::CryptoMap: "ILP_Tunnel": start resolving remote endpoint "IP удаленного сервера".
Apr 25 09:16:52
ndm
IpSec::Apply: "VirtualIPServerIKE2": crypto map administratively disabled, skipping.
Apr 25 09:16:52
ndm
IpSec::Config::CryptoMap: "ILP_Tunnel": resolved primary remote endpoint IP удаленного сервера to "IP удаленного сервера".
Apr 25 09:16:52
ipsec
10[CFG] vici terminate CHILD_SA 'ILP_Tunnel' of IKE_SA 'ILP_Tunnel'
Apr 25 09:16:52
ndm
IpSec::Configurator: "ILP_Tunnel": crypto map stopped.
Apr 25 09:16:52
ndm
IpSec::CryptoMapInfo: "ILP_Tunnel": remove runtime info #11.
Apr 25 09:16:52
ipsec
00[DMN] SIGINT received, shutting down
Apr 25 09:16:53
ndm
IpSec::Apply: missing IKE key for crypto map "VirtualIPServerIKE2".
Apr 25 09:16:53
ndm
Network::Interface::EndpointTracker: "ILP_Tunnel": remote endpoint is "IP удаленного сервера".
Apr 25 09:16:53
ndm
Network::Interface::EndpointTracker: "ILP_Tunnel": connecting via "PPPoE0" (PPPoE0).
Apr 25 09:16:53
ndm
Network::Interface::EndpointTracker: "ILP_Tunnel": local endpoint is "91.109.158.152".
Apr 25 09:16:53
ndm
Network::Interface::EndpointTracker: "ILP_Tunnel": added a host route to IP удаленного сервера via PPPoE0 (PPPoE0).
Apr 25 09:16:53
ndm
IpSec::Apply: "VirtualIPServerIKE2": crypto map administratively disabled, skipping.
Apr 25 09:16:53
ndm
IpSec::Apply: "ILP_Tunnel": added crypto map #13 prio 3 (config #0).
Apr 25 09:16:53
ndm
IpSec::CryptoMapInfo: "ILP_Tunnel": initialized runtime info #13.
Apr 25 09:16:53
ndm
IpSec::Netfilter: start reloading netfilter configuration...
Apr 25 09:16:53
ndm
IpSec::Netfilter: netfilter configuration reloading is done.
Apr 25 09:16:55
ipsec
Starting strongSwan 6.0.1 IPsec [starter]...
Apr 25 09:16:55
ipsec
00[DMN] Starting IKE charon daemon (strongSwan 6.0.1, Linux 4.9-ndm-5, aarch64)
Apr 25 09:16:55
ipsec
00[LIB] providers loaded by OpenSSL: legacy default
Apr 25 09:16:55
ipsec
00[CFG] loading secrets
Apr 25 09:16:55
ipsec
00[CFG] loaded 0 RADIUS server configurations
Apr 25 09:16:55
ipsec
00[CFG] enabling systime-fix, threshold: Tue Jan 1 00:00:00 2030
Apr 25 09:16:55
ipsec
00[CFG]
Apr 25 09:16:55
ipsec
00[CFG] starting system time check, interval: 10s
Apr 25 09:16:55
ipsec
00[LIB] loaded plugins: charon random save-keys nonce x509 pubkey pkcs7 pem openssl pkcs8 xcbc cmac hmac kdf ctr attr kernel-netlink resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-peap xauth-generic xauth-eap error-notify systime-fix unity counters
Apr 25 09:16:55
ipsec
00[LIB] dropped capabilities, running as uid 65534, gid 65534
Apr 25 09:16:55
ndm
Io::UnixStreamSocket: connected after 2 retries.
Apr 25 09:16:55
ipsec
08[CFG] loaded 0 entries for attr plugin configuration
Apr 25 09:16:55
ipsec
08[CFG] loaded 0 RADIUS server configurations
Apr 25 09:16:55
ipsec
15[CFG] loaded IKE shared key with id 'ILP_Tunnel-PSK' for: 'client', 'server'
Apr 25 09:16:55
ipsec
11[CFG] loaded 0 entries for attr plugin configuration
Apr 25 09:16:55
ipsec
11[CFG] loaded 0 RADIUS server configurations
Apr 25 09:16:55
ipsec
15[CFG] added vici connection: ILP_Tunnel
Apr 25 09:16:55
ipsec
15[CFG] vici initiating 'ILP_Tunnel'
Apr 25 09:16:55
ipsec
15[IKE] initiating IKE_SA ILP_Tunnel[1] to IP удаленного сервера
Apr 25 09:17:00
ipsec
11[IKE] retransmit 1 of request with message ID 0
Apr 25 09:17:05
ipsec
12[IKE] retransmit 2 of request with message ID 0
Apr 25 09:17:11
ipsec
11[IKE] retransmit 3 of request with message ID 0
Apr 25 09:17:18
ipsec
06[IKE] retransmit 4 of request with message ID 0
Apr 25 09:17:25
ipsec
14[IKE] retransmit 5 of request with message ID 0
Apr 25 09:17:33
ipsec
10[IKE] giving up after 5 retransmits
Apr 25 09:17:33
ndm
IpSec::Configurator: "ILP_Tunnel": remote peer is down.

Ну и далее все с начала и по кругу. При этом в логах удаленного сервера вообще ничего. Никаких попыток связи с ним. Такое ощущение что дальше ничто никак не идет. Думал про блокировки, но на старой версии с тем же конфигом все работает. Может чего надо в новой версии добавить?

Потом сделал откат обратно и снова все заработало как часы. Вопрос: что там понакрутили в 5.0 версии, что туннель падает? Или где доработать напильником, чтобы снова заработало? Вариант сидеть и далее на 4.х версии только как временное решение. Рано или поздно переход должен произойти.

Из дополнительного, что в теории может влиять, стоит Wireguard Сервер и клиент. Оба работают безупречно на обоих версиях.

 

[yolo]

Same here. I have both Client and Server. Upgraded from 4.3.4 to 5.0.10

[KonstantinM]

Я так понимаю без вариантов....

[Denis P]

28 минут назад, KonstantinM сказал:

Я так понимаю без вариантов....

В первую очередь стоит обращаться в техподдержку, контакты указаны тут

https://support.netcraze.ru