IPsec + ikev2

RIP, OSFP, BGP, MPLS/VPLS
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

IPsec + ikev2

Сообщение joker »

Здравствуйте!
Настроен IPsec-туннель с использованием протокола IKEv2.
На одной стороне mikrotik на второй VMware vCloud.
Проблема в том, что туннель каждые 3-4 дня умирает и не поднимается.
Что бы он заработал нужно заходить на Микротик удалять connections в active peers или в vmware перезапускать туннель.
Меня смущает, почему uptime коннекшина в active peers так долго живет и почему PH2 Totol = 3, по сути должно быть PH2 Totol = 2, но я могу ошибаться.
Может в планировщике создать задание на перезапуск IPsec один раз в день?
Помогите решить эту проблему? Нужно чтобы ipsec работал стабильно без прерываний.
Настройки ipsec с двух сторон в виде скриншотов прилагаю по ссылке https://cld.turovmilk.by/index.php/s/EmebYWskFfpaIaA
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Здравствуйте.

"Умирает" сопровождается каким-нибудь сообщением в логе? "Не поднимается" - есть ли ошибки, или просто всё замерло и ничего не происходит? На другой стороне логи смотрели? Версия RouterOS?
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

В логе по этому поводу ничего нету. Ошибок нету, всё замирает и пакеты не ходят и не восстанавливается туннель пока не удалишь Connection(скрин прилагаю), но если посмотреть во время отвала на вкладку Policies, то там статус соединения established, то есть получается соединение установлено но обмена трафиком нету.
И в Uptime было время 4 дня и пару часов, т.е. connection жил 4 дня с одними и теми же ключами и не обменивался новыми наверное.
Совпадает lifetime для первой и второй фазы: 8 часов первая фаза, 1 день вторая
MikroTik RouterOS 6.46.8
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Ну, если больше суток соединение держится - можно попробовать и по планировщику раз в сутки рвать соединение...

Ещё можно проверить на последней версии из ветки stable - там периодически по ike2/ipsec изменения появлялись.
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Как правильно команду сделать: /ip ipsec active-peers remove ..... и дальше что указать ID?
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 22 фев 2021, 18:22 Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
Большое спасибо за помощь!
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 22 фев 2021, 18:22 Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
Добрый день!
Подскажите можно ли пользователям сделать bat-файл на рабочем столе например, чтобы они могли сами запустить батник и без авторизации в winbox перезапускать VPN (/ip ipsec active-peers remove [find remote-address="193.176.x.y"]) ? А то иногда ночью тревожат )
Если есть решение, поделитесь пожалуйста.
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

А вы не хотите через Tools -> Netwatch пинговать вторую сторону - и при пропадании пинга запускать скрипт автоматически?..
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 18 ноя 2021, 16:39 А вы не хотите через Tools -> Netwatch пинговать вторую сторону - и при пропадании пинга запускать скрипт автоматически?..
Значит на вкладке HOST заполняю свои данные, а на вкладке UP вставляю скрипт (/ip ipsec active-peers remove [find remote-address="193.176.181.183"]). В DOWN ничего не заполнять?
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

UP - это когда всё работает. Вам нужен именно DOWN
joker
Сообщения: 44
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 19 ноя 2021, 14:23 UP - это когда всё работает. Вам нужен именно DOWN
Спасибо.
Но для того, что бы Netwatch пинговал вторую сторону, нужно чтобы эта железка ( сам микротик) пинговал вторую сторону.
Но с самого Микротика не пингуются локальные адреса и внешний адрес удаленного офиса с которым настроен IPSec (скрин прилагаю).
Локальные машины одного и второго офиса без проблем друг друга пингуют.
Подскажите как разрешить эту проблему с пингом?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Могу попробовать пальцем в небо ткнуть:

Код: Выделить всё

/ip firew nat add chain=srcnat src-address-type=local dst-address=10.1.0.0/16 ipsec-policy=out,ipsec action=src-nat to-addresses=192.168.адрес.роутера.в.локальной.подсети