Mikrotik IPsec тунел

[windwalker78]

       Здравейте,
    
       Ползваме от години един ipsec тунел на версия 5.25. Сменихме скоро доставчика на интернет на едното място и сега всеки ден тунела пада и лошото е че се вдига само с рестарт на оборудването от страна на новия доставчик. Flush SAs и Kill peer connection не помагат. Обикновено като падне тунела съобщението е packet rejected, а много ясно никой нищо не е пипал по firewall. Това е конфига

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des,aes-256 lifetime=8h pfs-group=none
add enc-algorithms=aes-256 lifetime=2h name=sha-aes pfs-group=none
/ip ipsec peer
add generate-policy=yes hash-algorithm=sha1 nat-traversal=yes secret=SomePass
add address=SomeIP1/32 comment=Maunsel dpd-maximum-failures=100 enc-algorithm=aes-256 hash-algorithm=sha1 nat-traversal=yes secret=\
    "SomePasword"
/ip ipsec policy
add comment="Ergon to Maunsel" dst-address=192.168.99.0/24 proposal=sha-aes sa-dst-address=SomeIP1 sa-src-address=SomeIP2 src-address=\
    192.168.64.0/19 tunnel=yes

/ip firewall nat
add chain=srcnat comment=IPSEC dst-address=192.168.99.0/24 src-address=192.168.64.0/19

Имаме и l2tp тунел за road warriors, който също пада по-често, но поне може да се свържат при retry.

Някакви идеи? 

Поздрави

[windwalker78]

Това виждам в лога:
 

09:22:01 ipsec,debug,packet resend phase1 packet 882fdd259adbc0ef:0000000000000000 
09:22:02 ipsec,debug phase2 negotiation failed due to time up waiting for phase1. ESP X.X.X.X[500]->Y.Y.Y.Y[500]  

След като спрях ipsec от двете страни и направих само читавата initiator се разминах с рестарт. Пробвах и tracert на udp 500 и мина успешно.

Някаква идея какво да погледна или да кажа на ISP?

[111111]

Пусни един паралелен тунел и пусни постоянен трафик.
и сравнявай как се държи когато пада IPSEC-a

Ползвай си SSTP да си нямаш ядове

[JohnTRIVOLTA]

Преди 7 часа, windwalker78 написа:

Това виждам в лога:
 

09:22:01 ipsec,debug,packet resend phase1 packet 882fdd259adbc0ef:0000000000000000 
09:22:02 ipsec,debug phase2 negotiation failed due to time up waiting for phase1. ESP X.X.X.X[500]->Y.Y.Y.Y[500]  

След като спрях ipsec от двете страни и направих само читавата initiator се разминах с рестарт. Пробвах и tracert на udp 500 и мина успешно.

Някаква идея какво да погледна или да кажа на ISP?

Подобен проблем имах и аз .Решението в моя случай бе просто - сетнах часа и на двата борда , като ползват един и същ NTP сървър след като ги ъпнах до еднакъв стейбъл рилийз на ROS !

[windwalker78]

On 4/30/2018 at 7:51 PM, JohnTRIVOLTA said:

Подобен проблем имах и аз .Решението в моя случай бе просто - сетнах часа и на двата борда , като ползват един и същ NTP сървър след като ги ъпнах до еднакъв стейбъл рилийз на ROS !

 

Благодаря за съвета. NTP си имаше. Вдигнах версията на рутерите до 6.42.1 и като цяло не се подобриха особено нещата. Явно си остава проблема в ISPто. Засега го мигрирах към OpenVPN, че поне се вдига всеки път. IPsec някога зависва и не се вдига.

Виждате ли минус (производителност или нещо друго) в това да заместя IPsec с OpenVPN? За момента нещата са по-стабилни.

 

Редактирано 14 Май, 2018 от windwalker78

[ReunioN]

А пробва ли за IPsec-a да ползваш IKE2 , а не main mode? IKE2  е доста по-умен и надежден от към автоматизация при отпадане на тунел.