faq обучение настройка
Текущее время: Вт мар 19, 2024 06:13

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Ср мар 28, 2018 14:19 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 11
Здравствуйте. Имеется два DFL-860E, соединенные по IPSec. У каждого по два интернета: основной и резервный. В случае обрыва основного интернета и переключения на резервный, IPSec остается висеть на основном интернете (в статусе IPSec значится IP адрес основного интернета). Помогает только перезагрузка маршрутизатора.
Проблема появилась после обновления с 2.40.02.12-19170 на v11.10.01.06.
Галки Dead Peer Detection и Auto Establish в настройках установлены IPSec установлены.
Скажите, пожалуйста, куда копать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Ср апр 18, 2018 10:53 
Не в сети

Зарегистрирован: Ср дек 21, 2016 23:08
Сообщений: 15
Я подозреваю, что у вас всего один туннель, верно? В случае 2х2 это не совсем верное решение.
У меня поднимается два туннеля (ISP1 в ISP1, ISP2 в ISP2), два маршрута с разными метриками, на маршрутах мониторинг. Всё работает прекрасно.
Если что - могу подсказать принцип.

Есть вариант настройки с четырьмя туннелями и четырьмя маршрутами, но в моём случае это слишком сложно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн апр 23, 2018 11:30 
Не в сети

Зарегистрирован: Вт июл 15, 2008 12:41
Сообщений: 26
3apa3a.b.ta3e писал(а):
Я подозреваю, что у вас всего один туннель, верно? В случае 2х2 это не совсем верное решение.
У меня поднимается два туннеля (ISP1 в ISP1, ISP2 в ISP2), два маршрута с разными метриками, на маршрутах мониторинг. Всё работает прекрасно.
Если что - могу подсказать принцип.

Есть вариант настройки с четырьмя туннелями и четырьмя маршрутами, но в моём случае это слишком сложно.


а можете подкинуть вариант 4х4 для 110ой прошивки?
А то как ни бьюсь на ней залипают ключи, пока лапками ike - delete IP не сделаешь, туннель не восстанавливается.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн апр 23, 2018 11:47 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
на форуме обсуждалась тема . поищите

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн апр 23, 2018 12:22 
Не в сети

Зарегистрирован: Вт июл 15, 2008 12:41
Сообщений: 26
Vladimir22 писал(а):
на форуме обсуждалась тема . поищите

Вы про 4х4 или про залипающие ключи SA?

Я для прошивок 2.х делал настройку для 4х4, но в прошивках 11.х она стабильно не работает, залипают ключи, может залипнуть ipsec, при том, что маршрут не включается.

Попробовал сделать тупо по букварю (2х2), тоже странность - если маршрут для 1_ISP2-2_SIP2 не делать, то работает стабильно (понятно что ipsec есть только один в один момент времени), а если добавить, то появляются как положено два ipsec, но пинги между сетями становятся не стабильными (типа 1/10 пакетов теряется)...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Вт июл 10, 2018 14:24 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 11
3apa3a.b.ta3e писал(а):
Я подозреваю, что у вас всего один туннель, верно? В случае 2х2 это не совсем верное решение.
У меня поднимается два туннеля (ISP1 в ISP1, ISP2 в ISP2), два маршрута с разными метриками, на маршрутах мониторинг. Всё работает прекрасно.
Если что - могу подсказать принцип.
Есть вариант настройки с четырьмя туннелями и четырьмя маршрутами, но в моём случае это слишком сложно.


У меня по 2 туннеля на каждом роутере, в один момент времени активен только один. У меня получилось сдвинуться с места. Видимо глюк появился из-за перехода на новую версию прошивки. Я пересоздал туннели, они стали корректно переключаться при переходе с основного интернета на резервный и обратно. Вот только роутинг не работает. В роутинге стоит Monitor и стоит Monitor Interface Link Status, но я так понимаю, что туннель не отдает информацию в маршрут о линк статусе. Если маршрут сделать disable, то включается второй маршрут.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Ср июл 11, 2018 13:32 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 11
В итоге получилось сделать через Host Monitoring. Правда, это костыль. Пингую сервера, находящиеся на другой стороне туннеля. И переключаю на резервный роутинг. Никакие другие комбинации (статический роутинг, динамический, прописанный вручную) работать не хотели. Если IPSec основной рвется, DFL прекрасно переключает на резервный IPSec, а роутинг никак, пока не сделаешь его disable.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Чт июл 12, 2018 10:53 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
dexxxqqq писал(а):
В итоге получилось сделать через Host Monitoring. Правда, это костыль.
Почему это костыль?

Фактически единственный верный метод мониторинга это через ICMP. Все остальные следует отключать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Чт июл 12, 2018 15:51 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 11
YuriAM писал(а):
Почему это костыль?


Потому что шлюз не пингуется. А пингую только сервера на той стороне туннеля, которые могут быть недоступны по другой причине (отключение электричества, сетевые проблемы, другие сбои). Должен ли пинговаться шлюз? ICMP разрешено из туннеля на шлюз. Из интернета шлюз пингуется, из лана тоже.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Чт июл 12, 2018 17:07 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
dexxxqqq писал(а):
Потому что шлюз не пингуется.

Должен !!!! проверяте правила .. смотрите ... сам удаленный DFL должен пинговаться - по любому

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пт июл 13, 2018 09:30 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Лучше всего мониторить удаленный DFL. Достаточно для этого разрешить пинг на него из нужного места.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Вс июл 15, 2018 13:33 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 11
Vladimir22 писал(а):
Должен !!!! проверяте правила .. смотрите ... сам удаленный DFL должен пинговаться - по любому

YuriAM писал(а):
Лучше всего мониторить удаленный DFL. Достаточно для этого разрешить пинг на него из нужного места.


Спасибо всем. Получилось. Надо было разрешить ICMP из IPSec на core (а я делал на lan).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн июл 30, 2018 08:24 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
вообще есть еще один типа "лайфхак"
в DFL есть возможность присваивать IP адреса маршрутам
(в документации написано - для того что-бы избежать заморочек при объединении сетей, в общем в данном контексте это не важно)
так вот, в схеме с двумя ванами, можно присвоить маршруту вана (который мониторится) IP
и если у нас два ipsec тунеля и надо мониторить уже маршруты lan1-lan2 до конечных сетей через эти тунели, то мониторим через IP присвенные wan маршрутам
в этом случае переключение тунулей и восстановление отрабатывает мгновенно


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн июл 30, 2018 08:54 
Не в сети

Зарегистрирован: Пн фев 19, 2018 11:13
Сообщений: 11
Счастье было недолгим. Если туннель сделать disabled, то все отрабатывает как надо и в ту (переключение на резерв) и в другую (возврат на основной) сторону. Но с нашим провайдером происходит такое отключение, что перестает работать моя схема. В статусе я вижу, что туннель активен, а маршрут через этот туннель - нет. Помогает disable/enable маршрута, после чего пинги начинают идти. Маршрут мониторится по пингу удаленного DFL, как мне советовали выше. Куда копать?

Shkiper писал(а):
в DFL есть возможность присваивать IP адреса маршрутам


Спасибо. Возможно, это мой случай. А в каком месте присваивается IP маршрутам?


Последний раз редактировалось dexxxqqq Пн июл 30, 2018 09:06, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не восстанавливается IPSec DFL-860E
СообщениеДобавлено: Пн июл 30, 2018 11:16 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
во вкладке general


Вложения:
route_ip.png
route_ip.png [ 11.72 KiB | Просмотров: 4545 ]
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB