IPsec + ikev2

RIP, OSFP, BGP, MPLS/VPLS
Ответить
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

IPsec + ikev2

Сообщение joker »

Здравствуйте!
Настроен IPsec-туннель с использованием протокола IKEv2.
На одной стороне mikrotik на второй VMware vCloud.
Проблема в том, что туннель каждые 3-4 дня умирает и не поднимается.
Что бы он заработал нужно заходить на Микротик удалять connections в active peers или в vmware перезапускать туннель.
Меня смущает, почему uptime коннекшина в active peers так долго живет и почему PH2 Totol = 3, по сути должно быть PH2 Totol = 2, но я могу ошибаться.
Может в планировщике создать задание на перезапуск IPsec один раз в день?
Помогите решить эту проблему? Нужно чтобы ipsec работал стабильно без прерываний.
Настройки ipsec с двух сторон в виде скриншотов прилагаю по ссылке https://cld.turovmilk.by/index.php/s/EmebYWskFfpaIaA
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec + ikev2

Сообщение Chupaka »

Здравствуйте.

"Умирает" сопровождается каким-нибудь сообщением в логе? "Не поднимается" - есть ли ошибки, или просто всё замерло и ничего не происходит? На другой стороне логи смотрели? Версия RouterOS?
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

В логе по этому поводу ничего нету. Ошибок нету, всё замирает и пакеты не ходят и не восстанавливается туннель пока не удалишь Connection(скрин прилагаю), но если посмотреть во время отвала на вкладку Policies, то там статус соединения established, то есть получается соединение установлено но обмена трафиком нету.
И в Uptime было время 4 дня и пару часов, т.е. connection жил 4 дня с одними и теми же ключами и не обменивался новыми наверное.
Совпадает lifetime для первой и второй фазы: 8 часов первая фаза, 1 день вторая
MikroTik RouterOS 6.46.8
Вложения
active connect.png
active connect.png (34.46 КБ) 1910 просмотров
establi.png
establi.png (21.47 КБ) 1910 просмотров
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec + ikev2

Сообщение Chupaka »

Ну, если больше суток соединение держится - можно попробовать и по планировщику раз в сутки рвать соединение...

Ещё можно проверить на последней версии из ветки stable - там периодически по ike2/ipsec изменения появлялись.
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Как правильно команду сделать: /ip ipsec active-peers remove ..... и дальше что указать ID?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec + ikev2

Сообщение Chupaka »

Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 22 фев 2021, 18:22 Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
Большое спасибо за помощь!
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 22 фев 2021, 18:22 Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
Добрый день!
Подскажите можно ли пользователям сделать bat-файл на рабочем столе например, чтобы они могли сами запустить батник и без авторизации в winbox перезапускать VPN (/ip ipsec active-peers remove [find remote-address="193.176.x.y"]) ? А то иногда ночью тревожат )
Если есть решение, поделитесь пожалуйста.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec + ikev2

Сообщение Chupaka »

А вы не хотите через Tools -> Netwatch пинговать вторую сторону - и при пропадании пинга запускать скрипт автоматически?..
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 18 ноя 2021, 16:39 А вы не хотите через Tools -> Netwatch пинговать вторую сторону - и при пропадании пинга запускать скрипт автоматически?..
Значит на вкладке HOST заполняю свои данные, а на вкладке UP вставляю скрипт (/ip ipsec active-peers remove [find remote-address="193.176.181.183"]). В DOWN ничего не заполнять?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec + ikev2

Сообщение Chupaka »

UP - это когда всё работает. Вам нужен именно DOWN
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 19 ноя 2021, 14:23 UP - это когда всё работает. Вам нужен именно DOWN
Спасибо.
Но для того, что бы Netwatch пинговал вторую сторону, нужно чтобы эта железка ( сам микротик) пинговал вторую сторону.
Но с самого Микротика не пингуются локальные адреса и внешний адрес удаленного офиса с которым настроен IPSec (скрин прилагаю).
Локальные машины одного и второго офиса без проблем друг друга пингуют.
Подскажите как разрешить эту проблему с пингом?
Вложения
Снимок1.JPG
Снимок1.JPG (32.94 КБ) 1526 просмотров
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPsec + ikev2

Сообщение Chupaka »

Могу попробовать пальцем в небо ткнуть:

Код: Выделить всё

/ip firew nat add chain=srcnat src-address-type=local dst-address=10.1.0.0/16 ipsec-policy=out,ipsec action=src-nat to-addresses=192.168.адрес.роутера.в.локальной.подсети
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 26 ноя 2021, 20:32 Могу попробовать пальцем в небо ткнуть:

Код: Выделить всё

/ip firew nat add chain=srcnat src-address-type=local dst-address=10.1.0.0/16 ipsec-policy=out,ipsec action=src-nat to-addresses=192.168.адрес.роутера.в.локальной.подсети
Добавил nat правило по вашему совету и не пингуется с роутера адрес удаленного офиса.
Вот предоставляю конфигурацию firewall моего микротика
Если нужно больше информации, то с радостью предоставлю.

Код: Выделить всё

/ip firewall> nat print         
Flags: X - disabled, I - invalid, D - dynamic 

 0    chain=srcnat action=src-nat to-addresses=192.168.1.1 dst-address=10.1.0.0/16 src-address-type=local log=no log-prefix="" ipsec-policy=out,ipsec 

 1    chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix="" ipsec-policy=out,none 

 2    chain=srcnat action=accept src-address-type="" dst-address-list=!anti-nat out-interface-list=WAN log=no log-prefix="" 

 3    ;;; L2TP VPN-client Internet access
      chain=srcnat action=masquerade src-address=192.168.123.0/24 log=no log-prefix="" 
	  
	  
 /ip firewall> filter print detail
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=accept src-address-list=vpn ipsec list log=no log-prefix="" 

 1    ;;; L2TP
      chain=input action=accept protocol=udp in-interface=ether2-wan2 dst-port=500,1701,4500 log=no log-prefix="" 

 2    ;;; Established\related
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

 3    chain=forward action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; Close 53 port DNS
      chain=input action=drop protocol=udp in-interface-list=WAN dst-port=53 log=no log-prefix="" 

 5    chain=input action=drop connection-state=invalid in-interface-list=WAN log=no log-prefix="" 

 6    chain=input action=drop in-interface-list=WAN log=no log-prefix="" 
 
 /ip firewall> address-list print
Flags: X - disabled, D - dynamic 
 #   LIST                                                                                        ADDRESS                                                                                                          CREATION-TIME        TIMEOUT             
 0   vpn ipsec list                                                                              37.37.49.66                                                                                                      sep/09/2019 08:31:20
 1   anti-nat                                                                                    192.168.7.0/24                                                                                                   sep/09/2019 08:39:40
 2   vpn ipsec list                                                                              193.57.181.157                                                                                                  oct/17/2019 16:05:49
 3   anti-nat                                                                                    10.1.0.0/16                                                                                                      oct/17/2019 16:14:05
 4   anti-nat                                                                                    192.168.0.0/24                                                                                                   oct/21/2019 11:12:30
 5   vpn ipsec list                                                                              37.57.35.218                                                                                                     oct/21/2019 11:14:47
 6   vpn ipsec list                                                                              178.164.151.115                                                                                                  oct/29/2019 15:44:45
 7   anti-nat                                                                                    192.168.99.0/24                                                                                                  oct/29/2019 15:45:49
 8   anti-nat                                                                                    192.168.4.0/24                                                                                                   jul/14/2020 14:37:55
 9   vpn ipsec list                                                                              37.17.46.170                                                                                                     jul/14/2020 14:38:23
10   ASTRON                                                                                      192.168.20.100                                                                                                   jul/02/2021 19:53:57

Ответить