IPsec + ikev2
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
IPsec + ikev2
Здравствуйте!
Настроен IPsec-туннель с использованием протокола IKEv2.
На одной стороне mikrotik на второй VMware vCloud.
Проблема в том, что туннель каждые 3-4 дня умирает и не поднимается.
Что бы он заработал нужно заходить на Микротик удалять connections в active peers или в vmware перезапускать туннель.
Меня смущает, почему uptime коннекшина в active peers так долго живет и почему PH2 Totol = 3, по сути должно быть PH2 Totol = 2, но я могу ошибаться.
Может в планировщике создать задание на перезапуск IPsec один раз в день?
Помогите решить эту проблему? Нужно чтобы ipsec работал стабильно без прерываний.
Настройки ipsec с двух сторон в виде скриншотов прилагаю по ссылке https://cld.turovmilk.by/index.php/s/EmebYWskFfpaIaA
Настроен IPsec-туннель с использованием протокола IKEv2.
На одной стороне mikrotik на второй VMware vCloud.
Проблема в том, что туннель каждые 3-4 дня умирает и не поднимается.
Что бы он заработал нужно заходить на Микротик удалять connections в active peers или в vmware перезапускать туннель.
Меня смущает, почему uptime коннекшина в active peers так долго живет и почему PH2 Totol = 3, по сути должно быть PH2 Totol = 2, но я могу ошибаться.
Может в планировщике создать задание на перезапуск IPsec один раз в день?
Помогите решить эту проблему? Нужно чтобы ipsec работал стабильно без прерываний.
Настройки ipsec с двух сторон в виде скриншотов прилагаю по ссылке https://cld.turovmilk.by/index.php/s/EmebYWskFfpaIaA
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPsec + ikev2
Здравствуйте.
"Умирает" сопровождается каким-нибудь сообщением в логе? "Не поднимается" - есть ли ошибки, или просто всё замерло и ничего не происходит? На другой стороне логи смотрели? Версия RouterOS?
"Умирает" сопровождается каким-нибудь сообщением в логе? "Не поднимается" - есть ли ошибки, или просто всё замерло и ничего не происходит? На другой стороне логи смотрели? Версия RouterOS?
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
В логе по этому поводу ничего нету. Ошибок нету, всё замирает и пакеты не ходят и не восстанавливается туннель пока не удалишь Connection(скрин прилагаю), но если посмотреть во время отвала на вкладку Policies, то там статус соединения established, то есть получается соединение установлено но обмена трафиком нету.
И в Uptime было время 4 дня и пару часов, т.е. connection жил 4 дня с одними и теми же ключами и не обменивался новыми наверное.
Совпадает lifetime для первой и второй фазы: 8 часов первая фаза, 1 день вторая
MikroTik RouterOS 6.46.8
И в Uptime было время 4 дня и пару часов, т.е. connection жил 4 дня с одними и теми же ключами и не обменивался новыми наверное.
Совпадает lifetime для первой и второй фазы: 8 часов первая фаза, 1 день вторая
MikroTik RouterOS 6.46.8
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPsec + ikev2
Ну, если больше суток соединение держится - можно попробовать и по планировщику раз в сутки рвать соединение...
Ещё можно проверить на последней версии из ветки stable - там периодически по ike2/ipsec изменения появлялись.
Ещё можно проверить на последней версии из ветки stable - там периодически по ike2/ipsec изменения появлялись.
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
Как правильно команду сделать: /ip ipsec active-peers remove ..... и дальше что указать ID?
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPsec + ikev2
Что-то типа
Код: Выделить всё
/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
Большое спасибо за помощь!Chupaka писал(а): ↑22 фев 2021, 18:22 Что-то типаКод: Выделить всё
/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
Добрый день!Chupaka писал(а): ↑22 фев 2021, 18:22 Что-то типаКод: Выделить всё
/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
Подскажите можно ли пользователям сделать bat-файл на рабочем столе например, чтобы они могли сами запустить батник и без авторизации в winbox перезапускать VPN (/ip ipsec active-peers remove [find remote-address="193.176.x.y"]) ? А то иногда ночью тревожат )
Если есть решение, поделитесь пожалуйста.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPsec + ikev2
А вы не хотите через Tools -> Netwatch пинговать вторую сторону - и при пропадании пинга запускать скрипт автоматически?..
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
Значит на вкладке HOST заполняю свои данные, а на вкладке UP вставляю скрипт (/ip ipsec active-peers remove [find remote-address="193.176.181.183"]). В DOWN ничего не заполнять?
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPsec + ikev2
UP - это когда всё работает. Вам нужен именно DOWN
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
Спасибо.
Но для того, что бы Netwatch пинговал вторую сторону, нужно чтобы эта железка ( сам микротик) пинговал вторую сторону.
Но с самого Микротика не пингуются локальные адреса и внешний адрес удаленного офиса с которым настроен IPSec (скрин прилагаю).
Локальные машины одного и второго офиса без проблем друг друга пингуют.
Подскажите как разрешить эту проблему с пингом?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: IPsec + ikev2
Могу попробовать пальцем в небо ткнуть:
Код: Выделить всё
/ip firew nat add chain=srcnat src-address-type=local dst-address=10.1.0.0/16 ipsec-policy=out,ipsec action=src-nat to-addresses=192.168.адрес.роутера.в.локальной.подсети
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: IPsec + ikev2
Добавил nat правило по вашему совету и не пингуется с роутера адрес удаленного офиса.Chupaka писал(а): ↑26 ноя 2021, 20:32 Могу попробовать пальцем в небо ткнуть:
Код: Выделить всё
/ip firew nat add chain=srcnat src-address-type=local dst-address=10.1.0.0/16 ipsec-policy=out,ipsec action=src-nat to-addresses=192.168.адрес.роутера.в.локальной.подсети
Вот предоставляю конфигурацию firewall моего микротика
Если нужно больше информации, то с радостью предоставлю.
Код: Выделить всё
/ip firewall> nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=src-nat to-addresses=192.168.1.1 dst-address=10.1.0.0/16 src-address-type=local log=no log-prefix="" ipsec-policy=out,ipsec
1 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix="" ipsec-policy=out,none
2 chain=srcnat action=accept src-address-type="" dst-address-list=!anti-nat out-interface-list=WAN log=no log-prefix=""
3 ;;; L2TP VPN-client Internet access
chain=srcnat action=masquerade src-address=192.168.123.0/24 log=no log-prefix=""
/ip firewall> filter print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept src-address-list=vpn ipsec list log=no log-prefix=""
1 ;;; L2TP
chain=input action=accept protocol=udp in-interface=ether2-wan2 dst-port=500,1701,4500 log=no log-prefix=""
2 ;;; Established\related
chain=forward action=accept connection-state=established,related log=no log-prefix=""
3 chain=forward action=drop connection-state=invalid log=no log-prefix=""
4 ;;; Close 53 port DNS
chain=input action=drop protocol=udp in-interface-list=WAN dst-port=53 log=no log-prefix=""
5 chain=input action=drop connection-state=invalid in-interface-list=WAN log=no log-prefix=""
6 chain=input action=drop in-interface-list=WAN log=no log-prefix=""
/ip firewall> address-list print
Flags: X - disabled, D - dynamic
# LIST ADDRESS CREATION-TIME TIMEOUT
0 vpn ipsec list 37.37.49.66 sep/09/2019 08:31:20
1 anti-nat 192.168.7.0/24 sep/09/2019 08:39:40
2 vpn ipsec list 193.57.181.157 oct/17/2019 16:05:49
3 anti-nat 10.1.0.0/16 oct/17/2019 16:14:05
4 anti-nat 192.168.0.0/24 oct/21/2019 11:12:30
5 vpn ipsec list 37.57.35.218 oct/21/2019 11:14:47
6 vpn ipsec list 178.164.151.115 oct/29/2019 15:44:45
7 anti-nat 192.168.99.0/24 oct/29/2019 15:45:49
8 anti-nat 192.168.4.0/24 jul/14/2020 14:37:55
9 vpn ipsec list 37.17.46.170 jul/14/2020 14:38:23
10 ASTRON 192.168.20.100 jul/02/2021 19:53:57
-
- Сообщения: 1
- Зарегистрирован: 07 июн 2024, 13:08
Re: IPsec + ikev2
Добрый день!
Подскажите, решился ли как то этот вопрос? Такая же ситуация.
Подскажите, решился ли как то этот вопрос? Такая же ситуация.