Всем привет!
Прошу помочь одолеть IPSec на DSR150.
DSR-150 H/W: A1, F/W: 1.08B33_WW (на предыдущих прошивках было аналогично)
Имеется центральный офис с Fortigate-50B, к которому подключены несколько удаленных офисов с DSR150, на них подняты IPSec туннели к фортигейту. Туннели, будучи установленными, работают без вопросов. Но, на одном из удаленных офисов в конце рабочего дня полностью обесточивается помещение, вместе с рутером. При утреннем включении туннель самостоятельно не поднимается.
По логу VPN видно, что в первые 3 минуты после включения туннель поднимается, затем устанавливается корректное время с NTP-сервера, после чего security association оказывается просроченным и удаляется, а туннель падает. Далее ничего не происходит, в журнале изредка регистрируются события Failed to load the configuration:
Mon Dec 16 18:11:36 2013 (GMT +0200): [DSR] [IKE] INFO: ISAKMP-SA deleted for x.x.x.118[500]-y.y.y.194[500] with spi:d14e6c94ac443e38:5c666a19309f9a2d
Mon Dec 16 18:11:36 2013 (GMT +0200): [DSR] [IKE] INFO: Phase 2 sa deleted x.x.x.118-y.y.y.194
Mon Dec 16 18:11:34 2013 (GMT +0200): [DSR] [IKE] INFO: Sending Informational Exchange: delete payload[]
Mon Dec 16 18:11:34 2013 (GMT +0200): [DSR] [IKE] INFO: ISAKMP-SA expired x.x.x.118[500]-y.y.y.194[500] spi:d14e6c94ac443e38:5c666a19309f9a2d
Mon Dec 16 18:11:34 2013 (GMT +0200): [DSR] [IKE] INFO: Phase 2 sa expired x.x.x.118-y.y.y.194
Mon Dec 16 18:11:34 2013 (GMT +0200): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10381]
Sat Jan 01 02:03:39 2011 (GMT +0200): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10381]
........
Sat Jan 01 00:03:13 2011 (GMT +0000): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10381]
Sat Jan 01 00:03:13 2011 (GMT +0000): [DSR] [IKE] ERROR: Failed to load the configuration
.........
Sat Jan 01 00:03:09 2011 (GMT +0000): [DSR] [IKE] ERROR: Failed to load the configuration
Sat Jan 01 00:03:08 2011 (GMT +0000): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10381]
Sat Jan 01 00:03:08 2011 (GMT +0000): [DSR] [IKE] ERROR: Failed to load the configuration
.........
Sat Jan 01 00:03:08 2011 (GMT +0000): [DSR] [IKE] ERROR: Failed to load the configuration
Sat Jan 01 00:03:03 2011 (GMT +0000): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10381]
Sat Jan 01 00:03:03 2011 (GMT +0000): [DSR] [IKE] ERROR: Failed to load the configuration
Sat Jan 01 00:03:02 2011 (GMT +0000): [DSR] [IKE] ERROR: Failed to load the configuration
Sat Jan 01 00:02:58 2011 (GMT +0000): [DSR] [IKE] INFO: [IPSEC_VPN] IPsec-SA established: ESP/Tunnel x.x.x.118->y.y.y.194 with spi=3635930425(0xd8b7e539)
Sat Jan 01 00:02:58 2011 (GMT +0000): [DSR] [IKE] INFO: [IPSEC_VPN] IPsec-SA established: ESP/Tunnel y.y.y.194->x.x.x.118 with spi=117983030(0x7084736)
Sat Jan 01 00:02:57 2011 (GMT +0000): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10637]
Sat Jan 01 00:02:56 2011 (GMT +0000): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[10381]
Sat Jan 01 00:02:47 2011 (GMT +0000): [DSR] [IKE] INFO: Initiating new phase 2 negotiation: x.x.x.118[0]<=>y.y.y.194[0]
Sat Jan 01 00:02:47 2011 (GMT +0000): [DSR] [IKE] INFO: Sending Informational Exchange: notify payload[608]
Sat Jan 01 00:02:47 2011 (GMT +0000): [DSR] [IKE] INFO: ISAKMP-SA established for x.x.x.118[500]-y.y.y.194[500] with spi:d14e6c94ac443e38:5c666a19309f9a2d
Sat Jan 01 00:02:44 2011 (GMT +0000): [DSR] [IKE] INFO: Received unknown Vendor ID
Sat Jan 01 00:02:44 2011 (GMT +0000): [DSR] [IKE] INFO: Received Vendor ID: DPD
Sat Jan 01 00:02:42 2011 (GMT +0000): [DSR] [IKE] INFO: Beginning Aggressive mode.
Sat Jan 01 00:02:42 2011 (GMT +0000): [DSR] [IKE] INFO: Initiating new phase 1 negotiation: x.x.x.118[500]<=>y.y.y.194[500]
Sat Jan 01 00:02:42 2011 (GMT +0000): [DSR] [IKE] INFO: Configuration found for y.y.y.194.
Sat Jan 01 00:02:42 2011 (GMT +0000): [DSR] [IKE] INFO: Configuration found for y.y.y.194.
Sat Jan 01 00:02:42 2011 (GMT +0000): [DSR] [IKE] INFO: Using IPsec SA configuration: 192.168.5.0/24<->192.168.0.0/23
Sat Jan 01 00:02:32 2011 (GMT +0000): [DSR] [IKE] INFO: Adding IKE configuration with identifier "MyTunnel"
Sat Jan 01 00:02:32 2011 (GMT +0000): [DSR] [IKE] INFO: Adding IPSec configuration with identifier "MyTunnel"
Sat Jan 01 00:02:31 2011 (GMT +0000): [DSR] [IKE] ERROR: No policy found: 192.168.0.0/23[0] 192.168.5.0/24[0] proto=any dir=in
Sat Jan 01 00:02:31 2011 (GMT +0000): [DSR] [IKE] ERROR: No policy found: 192.168.5.0/24[0] 192.168.0.0/23[0] proto=any dir=out
Sat Jan 01 00:00:36 2011 (GMT +0000): [DSR-150] [IKE] INFO: IKE started
Если произвести танец с бубном, то туннель оживает:
1. запрещаем IPSec policy
2. делаем reboot
3. разрешаем IPSec policy
4. туннель поднимается и благополучно работает до выключения маршрутизатора.
Если поставить время на рутере в manual - все (как ни странно) происходит точно так же: туннель стартует и валится с ISAKMP-SA expired.
Как обойти эту проблему?
Может быть есть возможность установить задержку запуска туннеля?
или как-то заставить его запускаться снова после удаления SA.
Вход
Регистрация
FAQ
Поиск
