Всем привет, помогите разобраться, почему не стабильно работает ipsec туннель.
С двух сторон микротик, прошивка 6.47.7.
Проблематика:
Наблюдаю такую картину - через несколько часов (~9 почему-то в основном) ipsec peer - established, но трафик не ходит, bgp падает. помогает - kill connections.
Вижу в логах такие строчки:
ipsec dpd collision
ipsec,debug reply ignored
Настройки:
interface gre add allow-fast-path=no !keepalive local-address=1.1.1.1 name=gre-tunnel-16 remote-address=2.2.2.2
ip address add address=172.31.20.237/30 interface=gre-tunnel-16 network=172.31.20.236
ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-128-cbc lifetime=12h name=gre-roznica pfs-group=modp2048
ip ipsec profile add dh-group=modp2048 dpd-interval=5s dpd-maximum-failures=4 enc-algorithm=aes-128 hash-algorithm=sha256 name=gre-roznica
ip ipsec peer add address=2.2.2.2/32 exchange-mode=ike2 name=tunnel-16 profile=gre-roznica
ip ipsec identity add peer=tunnel-16 secret=passssssssss
ip ipsec policy add dst-address=2.2.2.2/32 peer=tunnel-16 proposal=gre-roznica protocol=gre src-address=1.1.1.1/32
Настройки в центральном офисе и удаленных объектах идентичны. Кроме:
protocol в policy - в центральном офисе я поставил 255, т.к. часть туннелей мне показывал invalid
и в центральном офисе я поставил peer passive
но не понятно зачем выключать? dpd для этого ведь и нужен, что бы следить за состоянием туннеля.
Если отключить, то туннель всё время будет в состоянии up.
Или не так понимаю?
MrDZ, Я всегда выключаю - глючит - на постоянно поднятых туннелях, включаю только на VPN с виндой. Там я не помню, почему включен, но сейчас проверять неохота - этот долбаный VPN c виндой работает загадочно и когда он начинает работать, экспериментировать не хочется.
Простой
Сложный
