Почему зависает vpn mikrotik, при построении vpn ipsec ikev2?

Question

[dick1997]

Добрый день, встречали ли вы подобную проблему, что при просторнии ipsec туннеля ikev2, на базе моделей CCR1016-12G(загрузка cpu в районе 5%) и 2011UiAS(загрузка cpu в районе 100%), микротик переставало работать все, что связано с vpn, существующие отваливались, зайти проверить статистику не удавалось, она просто не отображается, при этом все остальное работало, можно удаленно подключаться, проверять/изменять другие значения на роутере, остановить данную проблему удается лишь отключив внешний интерфейс через который происходит подключения, становится доступно редактировать ipsec, отключив peer и вернув в работу внешнего интерфейса, как только вновь включить peer, история повторяется, пробвал последнюю прошивку 6.40.1 и bugfix only 6.38.7. Данный туннель устанавливался с ЦОД windows azure pack, при этом при построении аналогичного туннеля с другим mikrotik, такая проблема даже близко не повторяется, все соединения устанавливается.

Comments

[Ltonid]

Обычно основная проблема всех тоннелей микротик это маршрутизация на этот тоннель. Снимите ВСЕ правила маршрутизации и проверьте загрузку ЦП без трафика в тоннеле.

[dick1997]

Ltonid: О какой маршрутизации идет речь? Туннель не устанавливается, я даже не вижу, что на нем происходит, аналогичный туннель до другого микротика, какое то время работает(пингуется другая сторона, по туннелю), потом отваливается(пропадают пинги). Проблема начинается как только я создаю peer указываю ip другой стороны и выставляю ikev2.

Answer 1

[CityCat4]

С проблемой зависания IPSec в микротике сталкивался. Это именно RB2011-UiAS :) При вводе любой команды, относящейся к IPSec, микротик просто тупит пока не отменишь команду. Не знаю, чем это вызвано, лечится перезагрузкой микротика.

Comments

[dick1997]

перезагрузка не помогает, т.к туннель после старта, опять пытается подняться и история повторяется, как я писал выше, спасает только перезагрузка с изначальным отключением интерфейса провайдера, по которому устанавливается туннель, а после перезагрузки, когда интерфейс выключен и туннель уже не может установиться, начинают работать команды для ipsec и я могу отключить глючный туннель, после чего уже включаю интерфейс провайдера.

[pr0l]

хз у меня 2011 gre+ipsec как и l2tp+ipsec нормально работают, правда 2011 при прохождении 20+ мегабит через gre уходит в 100% нагрузку. ССR же нормально работает (с ноута 60 мегабит прокачивал, и это ограничение провайдера). Вы смотрите нагрузку проца в tools-profil?, иначе видите только среднее значение

[dick1997]

pr0l: в том то и дело, что подобных проблем с обычным оборудованием ранее не встречал, а тут вот такая история c ЦОД windows azure pack, прислал конфиг их техподдержке, они ничего посоветовать не могут, а главное совсем не понятно, что может так убивать микротик, что он ложит все vpn соединения. Да смотрю tools-profil и просто вывожу в правый верхний экран информацию, по загрузке cpu, CCR при это не грузит процессоры на 100%, но тупит также.

[CityCat4]

dick1997: IKEv2 у микротика не так давно, видимо все баги еще не выловили. Включите подробный лог, может там ошибки какие пишут

[dick1997]

CityCat4: да уже достаточно прошивок прошло с появления ikev2, должны были бы все пофиксить. В том то и дело, что все касаемо работы vpn. после включения peer, умирает и не отображается, что через winbox, что через terminal, были бы логи ошибок, то я бы сюда выложил.

[CityCat4]

dick1997: Ну есть еще хардкорный вариант - к консоли микротика подрубиться. Сам правда никогда не пробовал.

[dick1997]

CityCat4: что имеется ввиду под консолью микротика, прямое подключение например по COM порту к микротику? Самое смешное, что прямо сейчас попробовал создать peer с абсолютно левым паролем и данными и даже так все висит, т.е когда я прописываю ip ЦОД и выбираю режим ikev2, ловлю данный глюк.

[CityCat4]

dick1997: ну да, через COM-порт

[CityCat4]

dick1997: Я думаю это азур что-то такое выставляет в пакете IKE, что микротик с ума сходит

[dick1997]

CityCat4: скорее всего проблема там, раз тупники начинаются только при обращении к ним, при всем при этом, тех поддержка утверждает, что у них есть клиенты так же с mikrotik и все работает, озадачил их сравнением настроек у нас и у них, возможно что то поправят в конфиге, чтобы исправить.

[CityCat4]

dick1997: А с линуха через strongswan не пробовали завязаться? У микротика вполне может оказаться своя какая-нибудь реализация. Была тут у меня проблема. линух с линухом вяжется, микротик с микротиком вяжется, линух с микротиком - фигвам-индейская национальная изба. Долгое гугление вывело меня на одну статейку после которой я подумал и заменил хэш SHA256 на SHA1 - и взлетело!

[dick1997]

CityCat4: на всех точках стоит mikrotik, как то не хочется ставить еще что то ради одного vpn

[CityCat4]

dick1997: Чисто для проверки.

[dick1997]

CityCat4: да такая проверка не имеет смысла, т.к если даже все это заработает на чем то кроме mikrotik, это что то другое ставиться не будет, нужно добивать mikrotik