Alex R Posted August 24, 2017 Posted August 24, 2017 (edited) Keenetic Ultra II После недавнего обновления прошивки на 2.09.C.0.0-1 (если я ничего не пропустил то стояла предыдущая)Стал постоянно рваться IPsec тоннель. Настройки ни на той стороне (DrayTek Vigor 2925) ни на моей не менял. Вот что в журнале: Цитата IpSec::Configurator: crypto map "Test" is up. Aug 24 18:54:37ndmIpSec::Configurator: reconnection for crypto map "Test" was cancelled. Aug 24 18:54:37ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1. Aug 24 18:54:37ipsec14[CFG] received stroke: initiate 'Test' Aug 24 18:54:37ndmIpSec::Configurator: crypto map "Test" initialized. Aug 24 18:54:37ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Aug 24 18:54:37ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Aug 24 18:54:38ndmkernel: EIP93: build inbound ESP connection, (SPI=c61fd67a) Aug 24 18:54:41ndmkernel: EIP93: build outbound ESP connection, (SPI=5d7d63bf) Aug 24 18:54:45ipsec13[IKE] sending retransmit 1 of request message ID 1406107308, seq 1 Aug 24 18:54:54ipsec06[IKE] sending retransmit 2 of request message ID 1406107308, seq 1 Aug 24 18:55:04ipsec13[IKE] sending retransmit 3 of request message ID 1406107308, seq 1 Aug 24 18:55:14ipsec16[IKE] sending retransmit 4 of request message ID 1406107308, seq 1 Aug 24 18:55:26ipsec08[IKE] sending retransmit 5 of request message ID 1406107308, seq 1 Aug 24 18:55:39ipsec05[IKE] sending retransmit 6 of request message ID 1406107308, seq 1 Aug 24 18:55:53ipsec16[IKE] sending retransmit 7 of request message ID 1406107308, seq 1 Aug 24 18:56:09ipsec08[IKE] sending retransmit 8 of request message ID 1406107308, seq 1 Aug 24 18:56:26ipsec15[IKE] giving up after 8 retransmits Aug 24 18:56:26ndmIpSec::Configurator: remote peer of crypto map "Test" is down. Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0. Aug 24 18:56:26ndmIpSec::Configurator: fallback peer is not defined for crypto map "Test", retry. Aug 24 18:56:26ndmIpSec::Configurator: schedule reconnect for crypto map "Test". Aug 24 18:56:26ipsec15[IKE] sending DPD vendor ID Aug 24 18:56:26ipsec15[IKE] sending FRAGMENTATION vendor ID Aug 24 18:56:26ipsec15[IKE] sending NAT-T (RFC 3947) vendor ID Aug 24 18:56:26ipsec15[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Aug 24 18:56:26ipsec15[IKE] initiating Main Mode IKE_SA Test[103] to Удаленный IP Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0. Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0. Aug 24 18:56:26ndmkernel: EIP93: release SPI c61fd67a Aug 24 18:56:26ndmkernel: EIP93: release SPI 5d7d63bf Aug 24 18:56:26ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Aug 24 18:56:27ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Aug 24 18:56:34ipsec16[IKE] sending retransmit 1 of request message ID 0, seq 1 Aug 24 18:56:42ndmIpSec::Configurator: reconnecting crypto map "Test". Aug 24 18:56:43ipsec14[IKE] sending retransmit 2 of request message ID 0, seq 1 Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" shutdown started. Aug 24 18:56:44ipsec09[CFG] received stroke: unroute 'Test' Aug 24 18:56:44ipsec12[CFG] received stroke: terminate 'Test{*}' Aug 24 18:56:44ipsec12[CFG] no CHILD_SA named 'Test' found Aug 24 18:56:44ipsec06[CFG] received stroke: terminate 'Test ' Aug 24 18:56:44ipsec16[IKE] destroying IKE_SA in state CONNECTING without notification Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" shutdown complete. Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0. Aug 24 18:56:45ipsec05[CFG] received stroke: initiate 'Test' Aug 24 18:56:45ndmIpSec::Configurator: crypto map "Test" initialized. Aug 24 18:56:45ipsec07[IKE] sending DPD vendor ID Aug 24 18:56:45ipsec07[IKE] sending FRAGMENTATION vendor ID Aug 24 18:56:45ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID Aug 24 18:56:45ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Aug 24 18:56:45ipsec07[IKE] initiating Main Mode IKE_SA Test[104] to Удаленный IP Aug 24 18:56:53ipsec16[IKE] sending retransmit 1 of request message ID 0, seq 1 Aug 24 18:57:02ipsec14[IKE] sending retransmit 2 of request message ID 0, seq 1 Aug 24 18:57:12ipsec16[IKE] sending retransmit 3 of request message ID 0, seq 1 Aug 24 18:57:16ipsec07[IKE] received DPD vendor ID Aug 24 18:57:16ipsec07[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID Aug 24 18:57:16ipsec07[IKE] Удаленный IP is initiating a Main Mode IKE_SA Aug 24 18:57:16ipsec07[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Aug 24 18:57:16ipsec07[CFG] configured proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Aug 24 18:57:16ipsec07[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Aug 24 18:57:16ipsec07[IKE] sending DPD vendor ID Aug 24 18:57:16ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID Aug 24 18:57:16ipsec14[IKE] linked key for crypto map '(unnamed)' is not found, still searching Aug 24 18:57:16ipsec15[CFG] looking for pre-shared key peer configs matching Мой IP...Удаленный IP[Удаленный IP] Aug 24 18:57:16ipsec15[CFG] selected peer config "Test" Aug 24 18:57:16ipsec15[IKE] IKE_SA Test[105] established between Мой IP[Мой IP]...Удаленный IP[Удаленный IP] Aug 24 18:57:16ipsec15[IKE] scheduling reauthentication in 86370s Aug 24 18:57:16ipsec15[IKE] maximum IKE_SA lifetime 86390s Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 0. Aug 24 18:57:16ipsec08[CFG] received proposals: ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ Aug 24 18:57:16ipsec08[CFG] configured proposals: ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ Aug 24 18:57:16ipsec08[CFG] selected proposal: ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ Aug 24 18:57:16ipsec08[IKE] received 0 lifebytes, configured 21474836480 Aug 24 18:57:16ipsec12[IKE] CHILD_SA Test{74} established with SPIs c0d0a843_i 5d7d63c1_o and TS 192.168.140.0/24 === 192.168.6.0/24 Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" is up. Aug 24 18:57:16ndmIpSec::Configurator: reconnection for crypto map "Test" was cancelled. Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1. Aug 24 18:57:16ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Aug 24 18:57:16ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Aug 24 18:57:18ndmkernel: EIP93: build outbound ESP connection, (SPI=5d7d63c1) Aug 24 18:57:18ndmkernel: EIP93: build inbound ESP connection, (SPI=c0d0a843) Aug 24 18:57:22ipsec07[IKE] sending retransmit 4 of request message ID 0, seq 1 Aug 24 18:57:34ipsec16[IKE] sending retransmit 5 of request message ID 0, seq 1 И так по кругу. Время жизни тоннеля минуты 3 примерно. Постоянно идет вот это: Цитата Aug 24 18:54:45ipsec13[IKE] sending retransmit 1 of request message ID 1406107308, seq 1 Aug 24 18:54:54ipsec06[IKE] sending retransmit 2 of request message ID 1406107308, seq 1 Aug 24 18:55:04ipsec13[IKE] sending retransmit 3 of request message ID 1406107308, seq 1 Aug 24 18:55:14ipsec16[IKE] sending retransmit 4 of request message ID 1406107308, seq 1 Aug 24 18:55:26ipsec08[IKE] sending retransmit 5 of request message ID 1406107308, seq 1 Aug 24 18:55:39ipsec05[IKE] sending retransmit 6 of request message ID 1406107308, seq 1 Aug 24 18:55:53ipsec16[IKE] sending retransmit 7 of request message ID 1406107308, seq 1 Aug 24 18:56:09ipsec08[IKE] sending retransmit 8 of request message ID 1406107308, seq 1 Aug 24 18:56:26ipsec15[IKE] giving up after 8 retransmits Aug 24 18:56:26ndmIpSec::Configurator: remote peer of crypto map "Test" is down. При этом все работает, ну естественно до Configurator: remote peer of crypto map "Test" is down На втором тоннеле ничего такого нет. Он просто поднимается и больше ничего в логах не пишет.В журнале поменял только название тоннеля на "Test" и IP адреса на Удаленный IP и Мой IP соответственно на той стороне и мой.Никак не могу решить проблему. У меня всего два тоннеля (второй с DrayTek Vigor 2960 в другом месте. С ним вроде все нормально.), вот один начал рваться после прошивки, до этого долго время все было стабильно. Но то что после новой прошивки это явно, потому что сразу же я это заметил. Edited August 24, 2017 by Alex R 1 Quote
Le ecureuil Posted August 24, 2017 Posted August 24, 2017 Проверьте на последнем draft, скиньте self-test. Quote
Alex R Posted August 25, 2017 Author Posted August 25, 2017 13 часа назад, Le ecureuil сказал: Проверьте на последнем draft Вот это извините не понял self-test скинул. Quote
Le ecureuil Posted August 25, 2017 Posted August 25, 2017 7 часов назад, Alex R сказал: Вот это извините не понял self-test скинул. Поставьте 2.10 и обновитесь до последней прошивки из draft ( https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ ), и проверьте на ней. На ней же и self-test нужно снимать. Не дошел, давайте заново ) Quote
Alex R Posted August 25, 2017 Author Posted August 25, 2017 Да уж судя по тому что там написано, как то боязно это ставить, нехватало чтобы еще и второй тоннель закосячил, он еще более важный Ну да ладно. Я правильно понял, что надо прошить через веб морду эту прошивку http://files.keenopt.ru/firmware/Keenetic_Ultra_II/2017-07-25/ И потом она уже автоматом обновится через обновление еще? Quote
Le ecureuil Posted August 25, 2017 Posted August 25, 2017 Только что, Alex R сказал: Да уж судя по тому что там написано, как то боязно это ставить, нехватало чтобы еще и второй тоннель закосячил, он еще более важный Ну да ладно. Я правильно понял, что надо прошить через веб морду эту прошивку http://files.keenopt.ru/firmware/Keenetic_Ultra_II/2017-07-25/ И потом она уже автоматом обновится через обновление еще? Да, именно так. Quote
Alex R Posted August 25, 2017 Author Posted August 25, 2017 Все время после поднятия тоннеля идет вот это: ending retransmit 3 of request message ID 0, seq 3 Aug 25 19:06:29ipsec12[IKE] sending retransmit 3 of request message ID 0, seq 3 Aug 25 19:06:39ipsec12[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 25 19:06:40ipsec06[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 25 19:06:51ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 Aug 25 19:06:51ipsec06[IKE] sending retransmit 5 of request message ID 0, seq 3 Aug 25 19:07:04ipsec12[IKE] sending retransmit 6 of request message ID 0, seq 3 Aug 25 19:07:04ipsec06[IKE] sending retransmit 6 of request message ID 0, seq 3 Aug 25 19:07:18ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 Aug 25 19:07:19ipsec05[IKE] sending retransmit 7 of request message ID 0, seq 3 Aug 25 19:07:34ipsec06[IKE] sending retransmit 8 of request message ID 0, seq 3 раньше такого не было... Quote
Alex R Posted August 25, 2017 Author Posted August 25, 2017 В общем по факту. Пингами смотрел Оба тоннеля держатся около двух минут, восстановление происходит от 2 до 20 секунд, когда как, не одновременно оба, а немного в разное время. В общем беда конечно, так невозможно работать ( Quote
Alex R Posted August 25, 2017 Author Posted August 25, 2017 Вернулся на 2.09.C.0.0-1 да как и было один тоннель валиться перестал. Вот как мне вернуться на мою предыдущую, на которой оба работали. Да вообще вроде не было проблем на всех предыдущих на сколько я помню, ну по крайней мере таких, чтобы постоянно валилось. Если к примеру от сюда https://help.keenetic.net/hc/ru/articles/214496025-Файлы-загрузки-для-Keenetic-Ultra-II взять 2.08 то там изначально компонент IPsec отключен а просто так я понимаю без обновления его не включить, а обновляет он сразу на последнюю.. Quote
Alex R Posted August 26, 2017 Author Posted August 26, 2017 (edited) Новая информация, в общем оба тоннеля не работают нормально, постоянно связь пропадает даже на том который якобы работает, да он работает но когда работаешь по rdp например, все время прерывается соединение периодически на несколько секунд. А для телефонии это вообще беда, можно сказать что и не работает.... А если отключить один тоннель вообще, то второй уже по другому начинает себя вести и в логах уже появляется то что с двумя поднятыми нету... бред какой то... В общем подскажите, как вернуться на предыдущую прошивку? Edited August 26, 2017 by Alex R Quote
AndreBA Posted August 26, 2017 Posted August 26, 2017 2 часа назад, Alex R сказал: В общем подскажите, как вернуться на предыдущую прошивку? Скорее всего никак.Надо было сохранять ее для себя. Quote
Alex R Posted August 26, 2017 Author Posted August 26, 2017 А как сохранять? Через веб морду в сист файлах если firmware сохранять он мне вообще сохраняет pdf с картинкой. Quote
AndreBA Posted August 26, 2017 Posted August 26, 2017 (edited) 10 минут назад, Alex R сказал: А как сохранять? Через веб морду в сист файлах если firmware сохранять он мне вообще сохраняет pdf с картинкой. Переходите на #tools.files, нажима на firmware Цитата Потом выскакивает окно, нажимаете сохранить и все(начинается загрузка) Цитата Edited August 26, 2017 by AndreBA Quote
Alex R Posted August 26, 2017 Author Posted August 26, 2017 (edited) Эмм ну а я что написал? При таком сохранении сохраняется pdf файл со скриншотом этой странички. По крайней мере сейчас, раньше не пробовал. Впрочем теперь то уже не важно, все равно прошивка другая... Edited August 26, 2017 by Alex R Quote
AndreBA Posted August 26, 2017 Posted August 26, 2017 Странно у вас как то. Попробуйте через другой браузер зайти. Quote
Alex R Posted August 26, 2017 Author Posted August 26, 2017 Да косяк яндекс браузера, через IE все норм Ну все равно, той прошивки уже нет... ( Quote
AndreBA Posted August 26, 2017 Posted August 26, 2017 Только что, Alex R сказал: Ну все равно, той прошивки уже нет... ( Урок на будущее... Quote
Alex R Posted August 26, 2017 Author Posted August 26, 2017 Всеж таки интересно, чтож такого нашаманили в IPsec, что такая нестабильность полезла... У меня два тоннеля все время висело, было все нормально, я часами работал по rdp, radmin, телефония, часами иногда на талефоне висел, ничего не рвалось, тут бы сразу заметно было. ( Quote
Alex R Posted August 27, 2017 Author Posted August 27, 2017 (edited) Новая информация. Переключил на драйтеке Call Direction: с Dial-out на Both. При изначальной настройке еще давно на другой прошивке Ultra II с этой настройкой не работало, завелось только на Dial-out Еще поменял с 3des md5 на AES-SHA1 но с Dial-out все равно падало, то есть дело не в шифровании, но оставил AES-SHA1 В общем пока вроде работает без падений и в логах ультры пропали вот эти вот постоянные ipsec12[IKE] sending retransmit 3 of request message ID 0, seq 3 Будем смотреть... Edited August 27, 2017 by Alex R Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.