faq обучение настройка
Текущее время: Сб фев 29, 2020 10:49

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Ср апр 10, 2019 16:03 
Не в сети

Зарегистрирован: Ср авг 01, 2012 09:29
Сообщений: 158
Добрый день.
Такая проблема, есть туннель ipsec между dfl860e И dfl260e в нем жуткая связь, пакеты через один теряются, если пинг и проходит то от 200мс до тысячи.
Пинг туда сюда с разных машин интернет адресов внешних в обоих филиалах не даёт потерь совсем. Вот и не понятно куда копать, так как началось совсем недавно, больше года всё работало отлично,
В логах нашел лишь вот это source_ip=* dest_ip=* spi= seq=161755 protocol=ESP reason="ESP sequence number failure"
2019-04-10
16:55:08
Notice
IPSEC
1800112 sequence_number_failure
drop

Прошивки везде свежие, на 860 есть еще порядка 10 туннелей и все без проблем.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Ср апр 10, 2019 19:57 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
1. Не менялся ли оператор или тип подключения на стороне 260е ?
2. Какое значение MTU в рабочих тоннелях и в обсуждаемом.
3. Проверяйте/сверяйте настройки Phase-1 и Phase-2 с живыми тоннелями.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Чт апр 11, 2019 10:31 
Не в сети

Зарегистрирован: Ср авг 01, 2012 09:29
Сообщений: 158
MTU 1500 как и везде, все параметры одинаковые,
меня смущает, что началось без причины, сам dfl 260 может выйти так странно из строя инетресно,,


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Чт апр 11, 2019 13:26 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7179
Откуда: Екатеринбург
MTU в IPsec надо ставить 2000.

для начала попробуйте это на проблемном канале с обеих сторон туннеля.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Чт апр 11, 2019 13:54 
Не в сети

Зарегистрирован: Ср авг 01, 2012 09:29
Сообщений: 158
Глобально стало хуже пинги сильно выросли,,


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Чт апр 11, 2019 14:44 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
Поставьте для начала MTU=1420 и с шагом 8 пробуйте дойти до 1500

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Чт апр 11, 2019 14:46 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
gaz-tormozov писал(а):
MTU 1500 как и везде, все параметры одинаковые,
меня смущает, что началось без причины, сам dfl 260 может выйти так странно из строя инетресно,,
Причина всегда есть! Я не зря спросил про оператора.
Вполне возможно, что у него сменилось оборудование или какие-то настройки, и теперь Вам потребуется понизить MTU.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Чт апр 11, 2019 14:47 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
Есть специальная крошечная программа, которая может помочь: MTU-Test

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Пн апр 15, 2019 09:39 
Не в сети

Зарегистрирован: Ср авг 01, 2012 09:29
Сообщений: 158
вот такие ошибки сейчас полезли,,
2019-04-15
10:35:44
Critical
FRAG
2000004 FragReassemblyFail ESP *
* fail_out_of_resources
drop


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec теряет пакеты dfl860e И dfl260e
СообщениеДобавлено: Пн апр 15, 2019 12:00 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
А что этому предшествовало?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB