faq обучение настройка
Текущее время: Ср июл 18, 2018 11:32

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Ср мар 28, 2018 14:19 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 8
Здравствуйте. Имеется два DFL-860E, соединенные по IPSec. У каждого по два интернета: основной и резервный. В случае обрыва основного интернета и переключения на резервный, IPSec остается висеть на основном интернете (в статусе IPSec значится IP адрес основного интернета). Помогает только перезагрузка маршрутизатора.
Проблема появилась после обновления с 2.40.02.12-19170 на v11.10.01.06.
Галки Dead Peer Detection и Auto Establish в настройках установлены IPSec установлены.
Скажите, пожалуйста, куда копать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Ср апр 18, 2018 10:53 
Не в сети

Зарегистрирован: Ср дек 21, 2016 23:08
Сообщений: 15
Я подозреваю, что у вас всего один туннель, верно? В случае 2х2 это не совсем верное решение.
У меня поднимается два туннеля (ISP1 в ISP1, ISP2 в ISP2), два маршрута с разными метриками, на маршрутах мониторинг. Всё работает прекрасно.
Если что - могу подсказать принцип.

Есть вариант настройки с четырьмя туннелями и четырьмя маршрутами, но в моём случае это слишком сложно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн апр 23, 2018 11:30 
Не в сети

Зарегистрирован: Вт июл 15, 2008 12:41
Сообщений: 26
3apa3a.b.ta3e писал(а):
Я подозреваю, что у вас всего один туннель, верно? В случае 2х2 это не совсем верное решение.
У меня поднимается два туннеля (ISP1 в ISP1, ISP2 в ISP2), два маршрута с разными метриками, на маршрутах мониторинг. Всё работает прекрасно.
Если что - могу подсказать принцип.

Есть вариант настройки с четырьмя туннелями и четырьмя маршрутами, но в моём случае это слишком сложно.


а можете подкинуть вариант 4х4 для 110ой прошивки?
А то как ни бьюсь на ней залипают ключи, пока лапками ike - delete IP не сделаешь, туннель не восстанавливается.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн апр 23, 2018 11:47 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8688
Откуда: Москва
на форуме обсуждалась тема . поищите

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн апр 23, 2018 12:22 
Не в сети

Зарегистрирован: Вт июл 15, 2008 12:41
Сообщений: 26
Vladimir22 писал(а):
на форуме обсуждалась тема . поищите

Вы про 4х4 или про залипающие ключи SA?

Я для прошивок 2.х делал настройку для 4х4, но в прошивках 11.х она стабильно не работает, залипают ключи, может залипнуть ipsec, при том, что маршрут не включается.

Попробовал сделать тупо по букварю (2х2), тоже странность - если маршрут для 1_ISP2-2_SIP2 не делать, то работает стабильно (понятно что ipsec есть только один в один момент времени), а если добавить, то появляются как положено два ipsec, но пинги между сетями становятся не стабильными (типа 1/10 пакетов теряется)...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Вт июл 10, 2018 14:24 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 8
3apa3a.b.ta3e писал(а):
Я подозреваю, что у вас всего один туннель, верно? В случае 2х2 это не совсем верное решение.
У меня поднимается два туннеля (ISP1 в ISP1, ISP2 в ISP2), два маршрута с разными метриками, на маршрутах мониторинг. Всё работает прекрасно.
Если что - могу подсказать принцип.
Есть вариант настройки с четырьмя туннелями и четырьмя маршрутами, но в моём случае это слишком сложно.


У меня по 2 туннеля на каждом роутере, в один момент времени активен только один. У меня получилось сдвинуться с места. Видимо глюк появился из-за перехода на новую версию прошивки. Я пересоздал туннели, они стали корректно переключаться при переходе с основного интернета на резервный и обратно. Вот только роутинг не работает. В роутинге стоит Monitor и стоит Monitor Interface Link Status, но я так понимаю, что туннель не отдает информацию в маршрут о линк статусе. Если маршрут сделать disable, то включается второй маршрут.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Ср июл 11, 2018 13:32 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 8
В итоге получилось сделать через Host Monitoring. Правда, это костыль. Пингую сервера, находящиеся на другой стороне туннеля. И переключаю на резервный роутинг. Никакие другие комбинации (статический роутинг, динамический, прописанный вручную) работать не хотели. Если IPSec основной рвется, DFL прекрасно переключает на резервный IPSec, а роутинг никак, пока не сделаешь его disable.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Чт июл 12, 2018 10:53 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7080
Откуда: Екатеринбург
dexxxqqq писал(а):
В итоге получилось сделать через Host Monitoring. Правда, это костыль.
Почему это костыль?

Фактически единственный верный метод мониторинга это через ICMP. Все остальные следует отключать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Чт июл 12, 2018 15:51 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 8
YuriAM писал(а):
Почему это костыль?


Потому что шлюз не пингуется. А пингую только сервера на той стороне туннеля, которые могут быть недоступны по другой причине (отключение электричества, сетевые проблемы, другие сбои). Должен ли пинговаться шлюз? ICMP разрешено из туннеля на шлюз. Из интернета шлюз пингуется, из лана тоже.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Чт июл 12, 2018 17:07 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8688
Откуда: Москва
dexxxqqq писал(а):
Потому что шлюз не пингуется.

Должен !!!! проверяте правила .. смотрите ... сам удаленный DFL должен пинговаться - по любому

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пт июл 13, 2018 09:30 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7080
Откуда: Екатеринбург
Лучше всего мониторить удаленный DFL. Достаточно для этого разрешить пинг на него из нужного места.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Вс июл 15, 2018 13:33 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 8
Vladimir22 писал(а):
Должен !!!! проверяте правила .. смотрите ... сам удаленный DFL должен пинговаться - по любому

YuriAM писал(а):
Лучше всего мониторить удаленный DFL. Достаточно для этого разрешить пинг на него из нужного места.


Спасибо всем. Получилось. Надо было разрешить ICMP из IPSec на core (а я делал на lan).


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 18


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB