IPsec + ikev2

RIP, OSFP, BGP, MPLS/VPLS
joker
Сообщения: 41
Зарегистрирован: 29 апр 2019, 16:22

IPsec + ikev2

Сообщение joker »

Здравствуйте!
Настроен IPsec-туннель с использованием протокола IKEv2.
На одной стороне mikrotik на второй VMware vCloud.
Проблема в том, что туннель каждые 3-4 дня умирает и не поднимается.
Что бы он заработал нужно заходить на Микротик удалять connections в active peers или в vmware перезапускать туннель.
Меня смущает, почему uptime коннекшина в active peers так долго живет и почему PH2 Totol = 3, по сути должно быть PH2 Totol = 2, но я могу ошибаться.
Может в планировщике создать задание на перезапуск IPsec один раз в день?
Помогите решить эту проблему? Нужно чтобы ipsec работал стабильно без прерываний.
Настройки ipsec с двух сторон в виде скриншотов прилагаю по ссылке https://cld.turovmilk.by/index.php/s/EmebYWskFfpaIaA
Аватара пользователя
Chupaka
Сообщения: 3267
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Здравствуйте.

"Умирает" сопровождается каким-нибудь сообщением в логе? "Не поднимается" - есть ли ошибки, или просто всё замерло и ничего не происходит? На другой стороне логи смотрели? Версия RouterOS?
joker
Сообщения: 41
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

В логе по этому поводу ничего нету. Ошибок нету, всё замирает и пакеты не ходят и не восстанавливается туннель пока не удалишь Connection(скрин прилагаю), но если посмотреть во время отвала на вкладку Policies, то там статус соединения established, то есть получается соединение установлено но обмена трафиком нету.
И в Uptime было время 4 дня и пару часов, т.е. connection жил 4 дня с одними и теми же ключами и не обменивался новыми наверное.
Совпадает lifetime для первой и второй фазы: 8 часов первая фаза, 1 день вторая
MikroTik RouterOS 6.46.8
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3267
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Ну, если больше суток соединение держится - можно попробовать и по планировщику раз в сутки рвать соединение...

Ещё можно проверить на последней версии из ветки stable - там периодически по ike2/ipsec изменения появлялись.
joker
Сообщения: 41
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Как правильно команду сделать: /ip ipsec active-peers remove ..... и дальше что указать ID?
Аватара пользователя
Chupaka
Сообщения: 3267
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec + ikev2

Сообщение Chupaka »

Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
joker
Сообщения: 41
Зарегистрирован: 29 апр 2019, 16:22

Re: IPsec + ikev2

Сообщение joker »

Chupaka писал(а): 22 фев 2021, 18:22 Что-то типа

Код: Выделить всё

/ip ipsec active-peers remove [find remote-address="193.176.x.y"]
Большое спасибо за помощь!