Обрывы IPSec VPN между Mikrotik и vCloud Edge. Куда копать?
Добрый день.
Имеем виртуальный сервер в ЦОДе под управлением vCloud
На другом конце сеть предприятия с двумя внутренними подсетями. Управляется через Mikrotik
Для доступа к виртуальным машинам в ЦОДе необходимо настроить IPsec site-to-site VPN с Mikrotik
После поднятия соединения появилось 2 проблемы
При использовании IKEv1
1. При установке соединения пакеты из сети предприятия в ЦОД не идут, пока не начнут идти пакеты из ЦОДа.
Звучит глупо, но факт. Пока не запущу пинг из ЦОДа в сторону сети предприятия, в сторону ЦОДа ничего не идет.
Политики висят в статусе PH2="no phase2".
При использовании IKEv2 ситуация немного другая. Соединение поднимается само. Без костылей с пингом. Однако работают политики только для одной подсети предприятия. Тунель для второй сети не поднимается и всегда висит в статусе PH2="no phase2".
2. После определенного времени бездействия поднятый туннель обрывается. (при использовании IKEv1. Поведение при IKEv2 пока проверить нет возможности)
В чем может быть причина подобного поведения?
Не могу вычислить проблема на стороне vCloud или Mikrotik?
если у вас не ходит трафик в нужную сеть он и будет висеть в no phase2, т.к. никому эта сеть не нужна, как только отправите хоть 1 пакет туннель поднимется
Wexter, Спасибо за ответ
Вот только трафик в моем случае должен идти в обратную сторону.
К примеру то же RDP подключение.
А получается, пользователи не могут подключиться, пока к ним не прилетит пакет из виртуалок.
Евгений, файрвол не блокирует? в NAT пакеты не попадают под src-nat на интерфейс в интернет? на всякий нужно поставить ipsec policy в out:none в этом правиле.
по п.2 смотрите lifetime у proposal на микротике и со стороны vCloud, должны быть одинаковые
