Главная железка Kerio Control. К ней подключены по IPsec удаленные Mikrotik(и) (Hap Lite)
Иногда туннели падают и поднимаются минут 7-10 (некоторые и дольше), и нарушают работу внутренних сервисов, в частности 1С которая подключается по внутреннему домену.
Шифрование использую sha1, 3des, sha-128-cbc, sha-256-cbc, modp-1536, modp-2048.
Думаю о двух вариантах. Первое грешу на слабое железо в микротиках, может озу забивает и роняет туннель. Второе грешу на настройки лайвтаймов, ттл и т.п. Может дефолтные настройки по времени жизни нужно детально настроить?
Особо не силен в в этом, прошу помощи.
Спасибо за внимание.
Потому что Kerio Control - говно сам по себе. Туннели прекрасно держатся между 2 микротиками. Если нужны полноценные стабильные L2 туннели между сетями да еще и с шифрованием, рекомендую делать связность mikrotik-mikrotik по sstp\openvpn с сертификатами и VPLS сверху прикрутить.
Keffer, Плюс стопицот. Туннели на IPSec между микротиками стоят годами и не падают (а если падают, то есть очевидная причина - нет связи, сдох сертификат etc)
Keffer, CityCat4, К сожалению, нет возможности исключить Kerio из инфраструктуры, начальство отказывается заменять его. Нужно пытаться стабилизировать то что имеем.
Сергей nix, Если причина в использовании керио - для контроля за юзверями (а это в 99% случаев его основная задача) то для создания туннеля между сетями проще будет еще один микрот взять. А керио пусть продолжает заниматься тем что у него получается, следит за юзверями.
Сергей nix, во-первых перейдите на IKE2.
Проверьте, что бы параметры Lifetime и DPD совпадали на микротиках и Керио.
На крайний случай настройте скрипт по расписанию, который будет переподключать туннель в случае его падения. Если используете L2TP, бывает, что он залипает несмотря на активную IPSec-сессию, помогает ручной Kill connection, в этом случае можно викинуть прослойку L2TP и перейти на туннельный IPSec.
Первое, что приходит на ум - DPD. Если DPD включен, нужно чтобы керио его правильно ловил а не опускал соединение по неактивности (этим грешит racoon)
второе - при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 - 10 минут может занять).
Что можно сделать - посмотреть таймауты по фазам и политику их назначения и если можно забрать на микротики их назначение, может быть прибавить времени, отключить dpd (разумеется это все при наличии возможности это сделать - а то может быть там фиксированный набор настроек)
Mikrorik, Juniper (SSG, SRX). Windows 2008,2012,20
Забивает скорее всего не ОЗУ, а процессор, у Mikrotik в линейки есть продукты которые умеют аппаратно шифровать IPSec, следовательно процессор не нагружается. Смотрите спецификацию оборудования. Обычно IPSec редко сам "отваливается", у меня есть устройства на которых он работает с момента последнего перезапуска.
Средний
