TL-ER6120 <---> Strongswan

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

TL-ER6120 <---> Strongswan

humaxoid

2015-11-02 07:56:46

Посты: 3

Полезный: 0

Решения: 0

Истории: 0

Дата регистрации: 2015-11-02

TL-ER6120 <---> Strongswan

2015-11-02 07:56:46

Ваша страна: Россия
Название провайдера: Ройлком
Скорость по тарифу: 4 мбит/с
Если наблюдаются разрывы, то как часто?: Регулярно, с интервалом 8 часов
Наблюдается проблема, когда нет нагрузки?: Да
Что пишется в статусе Вашего подключения при проблеме?: Активный
Антивирусные программы и фаерволы: Отключил
Настроен VPN канал между TL-ER6120 с одной стороны и софтовым VPN сервером на Strongswan Linux с другой стороны. Периодически строго каждые 8 часов канал валится, потом через 8 часов самостоятельно восстанавливается. Далее цикл повторяется. Когда канал отсутствует, почему то продолжает высвечиваться статус "Activ". Подозреваю что это связано с IKE lifetime = 28800 (8ч.), IPSec lifetime = 28800 (8ч.)
Далее настройки такие:
Режим: LAN to LAN
DPD: отключен
FPS: отключен
На обоих сторонах настройки абсолютно идентичны. Нужна ваша помощь. Уже мозг сломал.

2 Ответить

Ame_ru

2015-11-03 15:17:53

Посты: 1096

Полезный: 34

Решения: 12

Истории: 0

Дата регистрации: 2014-04-07

Re: TL-ER6120 <---> Strongswan

2015-11-03 15:17:53

Попробуйте в настройках TL-ER6120 в разделе VPN - IKE следующие параметры:
DPD: Enable
DPD Interval: по умолчанию
Такие же настройки сделайте на Strongswan

Ваша задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдёт, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке - это время жизни на обоих узлах. В заключение стоит упомянуть, что при смене политики на одном из узлов, изменения вступят в силу только при следующем наступлении Фазы Один. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.

humaxoid

LV0

2015-11-04 07:25:36

Посты: 3

Полезный: 0

Решения: 0

Истории: 0

Дата регистрации: 2015-11-02

Re: TL-ER6120 <---> Strongswan

2015-11-04 07:25:36

[quote="Ame"]Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке - это время жизни на обоих узлах.[/quote] Про идентичность параметров на обеих сторонах, я даже и не заикаюсь
Вот что вычитал. http://www.opennet.ru/docs/RUS/vpn_ipsec/ раздел "фаза один и фаза два". Напросился вывод что время жизни первой фазы не только не должно превышать, но и не должно быть равно второй фазе? По умолчанию в TL-ER6120 эти параметры равны (28800 сек.). Это и создало описанную выше проблему. Установил значение первой фазы 28800 сек, значение второй фазы 3600 сек. и сразу всё тип топ. Вторые сутки наблюдаю, полет нормальный. IMHO, думается что было бы не плохо это учесть, в следующей версии прошивки. DPD не включал. Еще раз спасибо за быстрый и грамотный ответ!

TL-ER6120 &lt;---&gt; Strongswan

TL-ER6120 &lt;---&gt; Strongswan

Информация

Избиратели 0

Теги

TL-ER6120 <---> Strongswan

TL-ER6120 <---> Strongswan