faq обучение настройка
Текущее время: Чт мар 28, 2024 17:35

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
СообщениеДобавлено: Вт сен 28, 2021 13:13 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
Доброго времени суток форумчане!

Прошу помощи, есть две точки на DFL860E, прошивка 2.27.06.10-19068, подняты два IPSEC канала, с автоматическим с мониторингом по пингу.
Первый провайдер подключен по технологии FTTx с белым динамическим адресом. Работает уже 7 лет без нареканий.
Второй провайдер подключен через GEPON с белым статическим адресом. Подключили недавно.

Вроде с виду все завелось нормально, второй канал поднялся, при кратковременном выдергивании хвоста первого провайдера все
автоматически переключилось, на этом и успокоился.

Позже сеть первого провайдер упала на сутки.
Произошло переключение на второго.... и тут понеслись проблемы, каждые 10-15 минут потеря ipsec канала и повторное его поднятие.
Работать невозможно. Со своей стороны провайдер проблем не видит.
Протестировал напрямую с обоих точек пингом с ноутбуков: до шлюза, днс провайдера и гугла, оставлял на сутки, потерь нет.

Почитал форум, попробовал некоторые рекомендации:
- сменил WAN2 на DMZ
- в интерфейсе ipsec второго канала поставил MTU 2000
- также в IKE второго ipsec сменил режим с Main на Aggressive

После этого канал стал не каждые 10 минут переподниматься, а 20-40 минут.
Не пойму в чем может быть причина, мне кажется, что в провайдере, но в чем именно... первый канал работает стабильно.
Еще не нравится, что на интерфейс второго провайдера постоянно сыпятся ARP дропы.


Вложения:
2021-09-08_13-53-28.png
2021-09-08_13-53-28.png [ 5.6 KiB | Просмотров: 4093 ]
2021-09-08_14-06-53.png
2021-09-08_14-06-53.png [ 5.75 KiB | Просмотров: 4093 ]
2021-09-08_15-08-31.png
2021-09-08_15-08-31.png [ 9.14 KiB | Просмотров: 4093 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 29, 2021 09:10 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
посмотрите срок аренды DHCP у вашего провайдера - это очень похоже
когда происходит переназначение IP - то происходит пересоздание туннеля

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 29, 2021 10:47 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
Vladimir22 писал(а):
посмотрите срок аренды DHCP у вашего провайдера - это очень похоже
когда происходит переназначение IP - то происходит пересоздание туннеля


Спасибо за ответ. Но, как я писал выше, у второго провайдера статический адрес, там же не может быть время аренды?
У первого провайдера, да DHCP там стоит 1800с, но у него и канал работает стабильно.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 30, 2021 09:25 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
Возможно ли постоянное пересоздание IPSEC канала из-за моей точки ONU которую предоставил провайдер, может она творит безобразие? Или у какого другого абонента точка ONU глючит/флудит, что заставляет мою работать нестабильно и пересоздавать каждые 10-15 минут канал.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 06, 2021 13:59 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
есть какие мысли по проблеме?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн окт 11, 2021 16:31 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
может быть ....
я бы наверное
1- снял этот канал и поставил комп. и запустил пинги - рвутся ли ...
2- попробовал бы вывести детальные логи на SYSlog ( может там что то будет)

больше идей нету

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 13, 2021 13:43 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
Vladimir22 писал(а):
может быть ....
я бы наверное
1- снял этот канал и поставил комп. и запустил пинги - рвутся ли ...
2- попробовал бы вывести детальные логи на SYSlog ( может там что то будет)

больше идей нету


ставил с двух концов ноуты. пингавал шлюз, днс, гугол и точки. оставлял на сутки, потерь пакетов не было.
Syslog-сервер ни разу не поднимал, попробую.

Также написал провайдеру, может что-то у него в сети влияет на мой интерфейс.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт янв 20, 2022 15:05 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
Добрый день, всех с прошедшими праздниками.
После продолжительного больничного и новогодней сумятицы, вернулся к вопросу постоянному переподнятию второго канала IPSEC, поставил syslog сервер, и наблюдаю в нем вот такие ошибки:

2022-01-20 14:44:17 Local0.Warning 192.168.0.7 [2022-01-20 14:44:17] FW: IPSEC: prio=3 id=01802715 rev=1 event=event_on_ike_sa side=Initiator msg="failed" int_severity=6
2022-01-20 14:44:17 Local0.Warning 192.168.0.7 [2022-01-20 14:44:17] FW: IPSEC: prio=3 id=01802022 rev=2 event=ike_sa_failed action=no_ike_sa statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="91.X.X.X ID No Id" initiator_spi="ESP=0x694047d9, AH=0x1c948666"

2022-01-20 14:45:23 Local0.Warning 192.168.0.7 [2022-01-20 14:45:22] FW: IPSEC: prio=3 id=01802715 rev=1 event=event_on_ike_sa side=Initiator msg="failed" int_severity=6
2022-01-20 14:45:23 Local0.Warning 192.168.0.7 [2022-01-20 14:45:22] FW: IPSEC: prio=3 id=01802022 rev=2 event=ike_sa_failed action=no_ike_sa statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="91.X.X.X ID No Id" initiator_spi="ESP=0x68655ef7, AH=0x519bdda8"

2022-01-20 14:46:27 Local0.Warning 192.168.0.7 [2022-01-20 14:46:27] FW: IPSEC: prio=3 id=01802715 rev=1 event=event_on_ike_sa side=Initiator msg="failed" int_severity=6
2022-01-20 14:46:27 Local0.Warning 192.168.0.7 [2022-01-20 14:46:27] FW: IPSEC: prio=3 id=01802022 rev=2 event=ike_sa_failed action=no_ike_sa statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="91.X.X.X ID No Id" initiator_spi="ESP=0xabdaca6d, AH=0xfd910502"


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 24, 2022 09:12 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
смотрите расшифровку логов id=01802022
тут может быть больше

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 24, 2022 11:15 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
Vladimir22 писал(а):
смотрите расшифровку логов id=01802022
тут может быть больше


Посмотрел, "Не удалось согласовать IKE SA".
Это может быть из-за алгоритмов IKE, IPSEC? В моей прошивке они обрезаны, есть только DES, MD5, SHA1.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 24, 2022 15:44 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
да может ...
в ручную сделайте нужные алгоритмы .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 01, 2022 17:27 
Не в сети

Зарегистрирован: Пн окт 30, 2006 09:19
Сообщений: 33
нашел две старенькие dfl-800, поднял на них второго провайдера для экспериментов, а то народ жалуется, что после моих манипуляций/ребутов пользователям не комфортно работать, дабы их не трогать настроил на них.
Там получилась полностью такая же картина...
К чему пришел. Оказывается IPSEC тут и не причем, падает сам интерфейс на обоих железках и его падение 15 минут имеет прямую зависимость от ARP Expire (Lifetime of an ARP entry in seconds) ее время по умолчанию 900 сек. На сколько секунд меняю это время на обоих железках, столько канал/интерфейсы и живут (ставил 10, 30, 60 минут).
В логах по ARP есть 300003, 300049
На одной железке только:
Notice ARP 300003 ARPQueryNoSenderIP dmz 0.0.0.0 91.X.X.X no_sender_ip drop
На второй:
Notice ARP 300003 ARPQueryNoSenderIP dmz 0.0.0.0 91.X.X.X no_sender_ip drop
Warning ARP 300049 Default_Access_Rule lan 192.168.3.122 192.168.3.122 invalid_arp_sender_ip_address drop - это подсеть с камерами, она вообще по идее живет отдельной жизнью с трассиром, никаких правил для нее не в дфл нет.

Можно наверное поставить в ARP Expire 24 часа, но мне такое решение не нравится, интересна причина и ее устранение.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB