Как стабилизировать IPsec?

Главная железка Kerio Control. К ней подключены по IPsec удаленные Mikrotik(и) (Hap Lite)
Иногда туннели падают и поднимаются минут 7-10 (некоторые и дольше), и нарушают работу внутренних сервисов, в частности 1С которая подключается по внутреннему домену.
Шифрование использую sha1, 3des, sha-128-cbc, sha-256-cbc, modp-1536, modp-2048.
Думаю о двух вариантах. Первое грешу на слабое железо в микротиках, может озу забивает и роняет туннель. Второе грешу на настройки лайвтаймов, ттл и т.п. Может дефолтные настройки по времени жизни нужно детально настроить?
Особо не силен в в этом, прошу помощи.
Спасибо за внимание.
  • Вопрос задан
  • 292 просмотра
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Первое, что приходит на ум - DPD. Если DPD включен, нужно чтобы керио его правильно ловил а не опускал соединение по неактивности (этим грешит racoon)
второе - при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 - 10 минут может занять).

Что можно сделать - посмотреть таймауты по фазам и политику их назначения и если можно забрать на микротики их назначение, может быть прибавить времени, отключить dpd (разумеется это все при наличии возможности это сделать - а то может быть там фиксированный набор настроек)
Ответ написан
@BigDrive
Mikrorik, Juniper (SSG, SRX). Windows 2008,2012,20
Забивает скорее всего не ОЗУ, а процессор, у Mikrotik в линейки есть продукты которые умеют аппаратно шифровать IPSec, следовательно процессор не нагружается. Смотрите спецификацию оборудования. Обычно IPSec редко сам "отваливается", у меня есть устройства на которых он работает с момента последнего перезапуска.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы