Jump to content

Recommended Posts

Posted

Добрый день!

Обновился на одном роутере (Keenetic  II) до 2.13.C.0.0-4. Вроде выглядело всё стабильно, обновил остальные (Keenetic Viva / II) - IPSec падает каждый день.

Точнее, не падает, а на роутере выглядит живым, но соединения (пинги, данные) не идёт. Перезагружаешь роутер - всё ок.

Если не перезагружать - то просто перезапустить IPSec не получается, не поднимается.

Вроде бы проблема касается только Keenetic Viva, наблюдаю...

До этого была какая-то версия, которая кончалась на 3 (вроде из серии 2.13, хотя может и 2.11-2.12). Сдуру обновил, не скачав старую прошивку себе на комп :(

Найти такую прошивку не могу здесь: http://files.keenopt.ru/experimental/Keenetic_Viva/

Единственное, что нашел, это kng_rc_draft_2.12.A.1.0-4.bin, но там есть надпись жёлтая "Экспериментальная версия" (или что-то подобное), а в моей - не было.

И даже если её поставить, в ней куча ненужных компонентов, и одного нужного нет (SNMP), а если их поставить/удалить, то прошивка станет 2.13.C.0.0-4, т.е. проблемной...

Просьба помочь, если это возможно. Спасибо!

Posted

Может в новой версии что-то требуется поменять в настройках? (роутеры кинетик у меня являются клиентами, т.е. именно они "поднимают" соединение)...

 

Буфер обмена-1.jpg

Posted (edited)

Галка "Автоподключение" и "Nailed-up" взаимоисключающие?

Но вопрос в том, что есть ряд точек, где такие же настройки и там ничего не падает (версия кинетик ос та же).

Мне кажется, это не вопрос настроек, а где-то есть баг, которого не было в более ранней прошивке...

Именно эти настройки были в старой прошивке и всё работало без сбоев. И сейчас есть ряд точек, где стоит DSL (2.11.C.1.0-3) и там такая же настройка и нет сбоев.

Edited by avanti-sysadmin
Posted

Один из роутеров Giga II, тоже "упал", соединение вроде есть (с обеих сторон), но данные и пинги не ходят. Попытка отключить и включить соединение не помогают. Помогает только перезагрузка роутера.

Обращаюсь к разработчикам - просьба помочь с исправлением бага, могу выслать логи...

Posted

Прошивка была именно 2.11.C.1.0-3, нашел один необновлённый роутер (но только VIVA, к сожалению) с ней, забрал, поставил. Но там нет компонентов IP-IP/GRE, а они теперь нужны, их уже не поставишь без обновления прошивки (а новая прошивка сбойная).

Всё равно просьба исправить баг с IPSec в новой прошивке 2.13.C.0.0-4. Спасибо!

Posted

Вернул везде на старую прошивку 2.11.C.1.0-3.

Опытным путём выяснил, что проблемы были только с VIVA и с GIGA II, а моделью II проблем не было.

Posted
В 05.12.2018 в 03:33, avanti-sysadmin сказал:

Прошивка была именно 2.11.C.1.0-3, нашел один необновлённый роутер (но только VIVA, к сожалению) с ней, забрал, поставил. Но там нет компонентов IP-IP/GRE, а они теперь нужны, их уже не поставишь без обновления прошивки (а новая прошивка сбойная).

Всё равно просьба исправить баг с IPSec в новой прошивке 2.13.C.0.0-4. Спасибо!

Попробуйте legacy / 2.11.D.

 

Насчет исправления - нужны подробности, селф-тесты когда не работает и все такое. Без этого мы гадаем на кофейной гуще.

  • 10 months later...
Posted

Хочу поднять тему.

Прошивка последняя ( 2.16.D.1.0-0 ) на обоих Giga II (один клиент ,второй сервер).

Показывает на обоих статус подключено , а в реальности пинги пропадают.

При подключении к серверу пинги есть , потом какое то время проходит и они пропадают.

Разорву соединение и обратно подключаюсь, пинги вновь бегут.

Nailed-up  и Обнаружение неработающего пира (DPD)  пробовал и активными и не активными.

Кстати, иногда вижу странную дату смены ключейScreenshot_70.thumb.jpg.62e0741e50c71f60f222b1fb8884acaf.jpg

  • 1 month later...
Posted

Такое время тоже периодически. IPsec работает безобразно. У меня ситуация печальная вообще. Я в поддержке описывал уже. Куча мелких офисов, где стояли разные роутеры, Старье типа dlink 804, mikrotik hap lite, парочка убиквити эдж роутер х. В важных офисах dlink DFL - не откажусь от них никогда. Везде инет или эзернет или оптика, никаких занатом и т.д. Весь этот зоопарк работает годами без проблем, чаще свет отключают чем что-то повиснет.

И тут меня дернуло поменять 804 длинки и микротика. Накупил с десяток 1410, 1610, 1710 и понеслась.... Пробовал разное ПО, разное время "рекей" - поддержка советовала, в итоге не помогло. Туннели отваливаются и кинетик стоит не пойми чего ждет. Не помогает не перезагрузка, не вкл выкл туннель. Ему надо постоять некое время и туннель поднимется, но закономерности нет.

  • Need more info 1
Posted
4 часа назад, plv сказал:

Такое время тоже периодически. IPsec работает безобразно. У меня ситуация печальная вообще. Я в поддержке описывал уже. Куча мелких офисов, где стояли разные роутеры, Старье типа dlink 804, mikrotik hap lite, парочка убиквити эдж роутер х. В важных офисах dlink DFL - не откажусь от них никогда. Везде инет или эзернет или оптика, никаких занатом и т.д. Весь этот зоопарк работает годами без проблем, чаще свет отключают чем что-то повиснет.

И тут меня дернуло поменять 804 длинки и микротика. Накупил с десяток 1410, 1610, 1710 и понеслась.... Пробовал разное ПО, разное время "рекей" - поддержка советовала, в итоге не помогло. Туннели отваливаются и кинетик стоит не пойми чего ждет. Не помогает не перезагрузка, не вкл выкл туннель. Ему надо постоять некое время и туннель поднимется, но закономерности нет.

Реально не хватает информации.

Сообщите plz тикеты из поддержки, мы с ними посмотрим, что там не так.

Posted

Запрос #452556

Рвался туннель сегодня 6 раз. Причем я смотрел, как мне показалось,не во время - Время смены ключей - а прям вот пару раз в течении 20 минут.

И еще у меня есть старый кинетик черный v2.08, там все нормально.omni.thumb.jpg.743a01dfa849a935ec267f82b300d466.jpg


 

 

  • 2 weeks later...
Posted

Здравствуйте!

Может не в тему, но IPSec на 3.3 с обновления от 20.10.2019 начал работать очень некорректно. При чём, на Kenetic (Ultra (KN-1810) и Keetenic Ultra II) белым IP пашет без проблем, а связка белый IP - серый IP работать не хочет. На стороне Keenetic  Ultra (KN-1810) c серыи IP в логе дополнительно указывает 12[IKE] tried 1 shared key fo 'xx.xx.xx.xxx'-'xxx.xx.xxx.xx', but MAC mismatched                                    12[IKE]linked key for crypto map 'xxx.xx.xxx.xx' is not found, still searching  ...

Лог Keenetic Ultra II с белым IP:
IpSec::Configurator: remote peer rejects to authenticate our crypto map "ххх.хх.ххх.хх".
Ноя 17 23:18:23
ndm
IpSec::Configurator: (possibly because of wrong local/remote ID).
Ноя 17 23:18:23
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.
Ноя 17 23:18:23
ipsec
15[IKE] IKE_SA deleted
Ноя 17 23:18:23
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Ноя 17 23:18:23
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.
Ноя 17 23:18:23
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Ноя 17 23:18:23
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.
Ноя 17 23:18:23
ndm
Core::Syslog: last message repeated 2 times.
Ноя 17 23:18:23
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Ноя 17 23:18:24
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Ноя 17 23:18:42
ipsec
09[IKE] 46.47.7.2 is initiating an IKE_SA
Ноя 17 23:18:42
ipsec
09[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768
Ноя 17 23:18:42
ipsec
09[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768
Ноя 17 23:18:42
ipsec
09[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768
Ноя 17 23:18:42
ipsec
09[IKE] remote host is behind NAT
Ноя 17 23:18:42
ipsec
12[CFG] looking for peer configs matching ххх.хх.ххх.хх[ххх.хх.ххх.хх]...хх.хх.х.х[хх.хх.хх.ххх]
Ноя 17 23:18:42
ipsec
12[CFG] selected peer config 'ххх.хх.ххх.хх'
Ноя 17 23:18:42
ipsec
12[IKE] linked key for crypto map 'ххх.хх.ххх.хх' is not found, still searching
Ноя 17 23:18:42
ipsec
12[IKE] authentication of 'хх.хх.хх.ххх' with pre-shared key successful
Ноя 17 23:18:42
ipsec
12[IKE] linked key for crypto map 'ххх.хх.ххх.хх' is not found, still searching
Ноя 17 23:18:42
ipsec
12[IKE] authentication of 'ххх.хх.ххх.хх' (myself) with pre-shared key
Ноя 17 23:18:42
ipsec
12[IKE] IKE_SA ххх.хх.ххх.хх[9099] established between ххх.хх.ххх.хх[ххх.хх.ххх.хх]...хх.хх.х.х[хх.хх.хх.ххх]
Ноя 17 23:18:42
ipsec
12[IKE] scheduling reauthentication in 31535980s
Ноя 17 23:18:42
ipsec
12[IKE] maximum IKE_SA lifetime 31536000s
Ноя 17 23:18:42
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 1, active CHILD SA: 0.
Ноя 17 23:18:42
ipsec
12[CFG] received proposals: ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Ноя 17 23:18:42
ipsec
12[CFG] configured proposals: ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Ноя 17 23:18:42
ipsec
12[CFG] selected proposal: ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Ноя 17 23:18:42
ipsec
12[IKE] CHILD_SA ххх.хх.ххх.хх{9101} established with SPIs cdef24d3_i c3a6603d_o and TS 192.168.1.0/24 === 192.168.3.0/24
Ноя 17 23:18:42
ndm
IpSec::Configurator: crypto map "ххх.хх.ххх.хх" is up.
Ноя 17 23:18:42
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 1, active CHILD SA: 1.
Ноя 17 23:18:42
ipsec
10[IKE] received DELETE for IKE_SA ххх.хх.ххх.хх[9099]
Ноя 17 23:18:42
ipsec
10[IKE] deleting IKE_SA ххх.хх.ххх.хх[9099] between ххх.хх.ххх.хх[ххх.хх.ххх.хх]...хх.хх.х.х[хх.хх.хх.ххх]
Ноя 17 23:18:42
ndm
IpSec::Configurator: remote peer rejects to authenticate our crypto map "ххх.хх.ххх.хх".
Ноя 17 23:18:42
ndm
IpSec::Configurator: (possibly because of wrong local/remote ID).
Ноя 17 23:18:42
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.
Ноя 17 23:18:42
ipsec
10[IKE] IKE_SA deleted
Ноя 17 23:18:42
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Ноя 17 23:18:42
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.
Ноя 17 23:18:43
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Ноя 17 23:18:43
ndm
IpSec::Configurator: "ххх.хх.ххх.хх": crypto map active IKE SA: 0, active CHILD SA: 0.
Ноя 17 23:18:43
ndm
Core::Syslog: last message repeated 2 times.
Ноя 17 23:18:43
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Ноя 17 23:18:43
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

 

  • 3 weeks later...
Posted
1 минуту назад, plv сказал:

Отвечать никто не планирует?

здесь форум любителей. Профессионалы отвечают в 

 

В 08.11.2019 в 19:05, plv сказал:

Запрос #452556

 

Posted
23 минуты назад, plv сказал:

Мне кажется любителям ipsec побоку

Вы не так поняли посыл. Этот форум вмещает в себя только "любителей", читай волонтёров, владельцев кинетиков и иногда рэндомно заглядывают разработчики. И здесь что либо требовать не корректно и бессмысленно.

Так вы можете разговаривать лишь с официальной поддержкой имярек... 

Posted

Да, нет я ничего не требовал, вам показалось. Я обращался вообще к людям у которых подобные проблемы, вдруг чего решили. Запрос к офиц сделал тоже.

Posted
38 минут назад, plv сказал:

Я обращался вообще к людям у которых подобные проблемы, вдруг чего решили. Запрос к офиц сделал тоже.

Вы хоть бы логи выложили. Подобные у вас проблемы или нет никто не знает. Все данные вы отправили в ТП, любители их не видят. На вопросы "у меня ничего не работает. что делать?" тут не отвечают.  

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.