Проблемы с IPsec VPN

[KorDen]

Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.

crypto ike proposal ABC
   encryption aes-cbc-128
   dh-group 15
   integrity sha1
crypto ike policy ABC
   proposal ABC
   lifetime 3600
   mode ikev2
crypto ipsec transform-set ABC
   cypher esp-aes-128
   hmac esp-sha1-hmac
   dh-group 15
   lifetime 3600
crypto ipsec profile ABC
   dpd-interval 30
   identity-local email a@a.a
   match-identity-remote any
   authentication-local pre-share
   mode tunnel
   policy ABC

Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС.

Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки.

Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22

[Le ecureuil]

Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.

crypto ike proposal ABC
   encryption aes-cbc-128
   dh-group 15
   integrity sha1
crypto ike policy ABC
   proposal ABC
   lifetime 3600
   mode ikev2
crypto ipsec transform-set ABC
   cypher esp-aes-128
   hmac esp-sha1-hmac
   dh-group 15
   lifetime 3600
crypto ipsec profile ABC
   dpd-interval 30
   identity-local email a@a.a
   match-identity-remote any
   authentication-local pre-share
   mode tunnel
   policy ABC

Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС.

Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки.

Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22

Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.

Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи.

[KorDen]

Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.

Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи.

По первому (пересогласования) - нет вариантов, как пока можно попробовать избежать проблему настройками?

По второму - без hw было где-то 30 мбит/с с загрузкой ЦП Giga 2 в потолок, с ним чуть выше сотни. Пока с большой нагрузкой много не тестировали, т.к. использовать постоянно мешает п.1

[KorDen]

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

[Le ecureuil]

Да, сообщений об проблеме набрано достаточно, недостаточно времени чтобы заняться вплотную

Как только - так сразу.

[Rezdbic]

Ясно. Пока обождем, когда починят IPsec.

[Le ecureuil]

Вроде бы найден и устранен источник проблем с постоянным пересогласованием, должно быть хорошо в следующих пятничных сборках 2.08 и 2.06. В 2.07 пока не стали переносить из-за возможных сайд-эффектов, потому что 2.07 на полном пути к стабильной версии.

Всем просьба проверить "ушла" ли проблема с бесконечным пересогласованием или нет.

[Le ecureuil]

В 8/10/2016 в 10:07, KorDen сказал:

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.

[KorDen]

1 час назад, Le ecureuil сказал:

Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...

[KorDen]

За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае