IPSec VPN между Mikrotik и Cisco

@Andrei Agafonov · Регистрация: 04.09.2014

Author24 — интернет-сервис помощи студентам

Есть ЦО где стоит циска, есть офис где микротик.
У офиса провайдер так себе поэтому канал периодически падает.
При восстановлении канала VPN не поднимается так как на циски не сбрасывается сас ключи, но после ребута микротика впн поднимается спокойно.

в связке:
ip ipsec installed-sa flush - со стороны микротик
router(config)#crypto isakmp invalid-spi-recovery со стороны циски - всё поднимается
Собственно вопрос как автоматизировать? Либо какими способами возможно решить данную проблему?

Jabbson · 07.09.2014, 12:11

DPD, crypto isakmp keepalive

@Andrei Agafonov · 08.09.2014, 09:56 **[ТС]**

А можно поподробней?

Jabbson · 08.09.2014, 11:00

можно, вот

@Andrei Agafonov · 08.09.2014, 12:54 **[ТС]**

поставил crypto isakmp keepalive 20 periodic
не помогло.

@MonaxGT · 08.09.2014, 16:47

Andrei Agafonov, так может проблема с стороны микротика? Уберите periodic, оставьте по-умолчанию

Не по теме:

Вы не пробывали выкинуть его, к примеру?

@cat_driver · 08.09.2014, 17:17

а какой софт у вас на микротике? погуглите по багами Ipsec возможно обновиться нужно или наоборот задаунгрейдить

@outl4w · 09.09.2014, 06:09

Andrei Agafonov, была подобная проблема, правда между Juniper и Cisco. Как оказалось, виной были не совсем идентичные политики, а точнее lifetime на сторонах. Не факт, что проблема в том же, но проверить стоит.

@Andrei Agafonov · 09.09.2014, 09:39 **[ТС]**

В чём проблема то я сумел понять, даже ход решения логичен и прост.
Решение примерно такое, роутеры друг друга пингуют по туннелю, и в момент когда пинг не прошёл (пусть будет 4 пакета) они выполняли команду сброса ключей. Вопрос в том как это автоматизировать и написать скриптовку (да костыль но иных идей пока что нет)
outl4w, Lifetime и с той и с другой стороны 8 часов, если сделать раз в полчаса, микротик начинает плодить ключи
cat_driver, 6.19, проблема была на 6.16 но вроде как пофиксили, новее пока что прошивки нет, а даунгредиться не понятно до какой

@outl4w · 09.09.2014, 11:09

Сообщение от Andrei Agafonov

Вопрос в том как это автоматизировать и написать скриптовку

Если только к ip sla прикрутить event manager на сброс SA.

А туннель поднимается исключительно после ребута микротика или достаточно на кошке сделать clear cry isa и он поднимется?

@Andrei Agafonov · 10.09.2014, 10:05 **[ТС]**

outl4w, достаточно очистить ключи на циске, то есть насколько я понимаю микротик ключи свои убивает а циска нет, в результате чего микротик ждёт конца жизни

@outl4w · 11.09.2014, 09:20

Andrei Agafonov, а Вы не обращали внимание, SA какой фазы сбоят?
Не могли бы сделать в момент падения: sh cry isa sa и sh cry ipsec sa ?

@Andrei Agafonov · 23.09.2014, 16:23 **[ТС]**

Собственно решил проблему, со стороны циски настраивается вот такая конфига:

event manager environment _exchserv 192.168.1.23 \\адрес почтовика
event manager environment _adminadress ito@mailhost.ru \\адрес кому присылать
event manager environment _report cisco_rep@mailhost.ru \\кто присылает

ip sla 2
icmp-echo 192.168.15.1 source-ip 192.168.0.1 \\кого пингуем, через какой интерфейс
frequency 2
ip sla schedule 2 life forever start-time now

track 2 ip sla 2 reachability
delay down 5 up 5 \\время определения канала

event manager applet host_VPN_is_down
event track 2 state down
action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping DOWN"
action 1.1 cli command "clear crypto sa peer 86.62.120.1" \\очищает ключи конкретного пира

event manager applet host_VPN_is_up
event track 9 state up
action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping UP"

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	23.09.2014, 16:23 [ТС]	13
	Собственно решил проблему, со стороны циски настраивается вот такая конфига: event manager environment _exchserv 192.168.1.23 \\адрес почтовика event manager environment _adminadress ito@mailhost.ru \\адрес кому присылать event manager environment _report cisco_rep@mailhost.ru \\кто присылает ip sla 2 icmp-echo 192.168.15.1 source-ip 192.168.0.1 \\кого пингуем, через какой интерфейс frequency 2 ip sla schedule 2 life forever start-time now track 2 ip sla 2 reachability delay down 5 up 5 \\время определения канала event manager applet host_VPN_is_down event track 2 state down action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping DOWN" action 1.1 cli command "clear crypto sa peer 86.62.120.1" \\очищает ключи конкретного пира event manager applet host_VPN_is_up event track 9 state up action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping UP" 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
		1
	IPSec VPN между Mikrotik и Cisco 04.09.2014, 14:16. Показов 8294. Ответов 12 Метки нет (Все метки) Есть ЦО где стоит циска, есть офис где микротик. У офиса провайдер так себе поэтому канал периодически падает. При восстановлении канала VPN не поднимается так как на циски не сбрасывается сас ключи, но после ребута микротика впн поднимается спокойно. в связке: ip ipsec installed-sa flush - со стороны микротик router(config)#crypto isakmp invalid-spi-recovery со стороны циски - всё поднимается Собственно вопрос как автоматизировать? Либо какими способами возможно решить данную проблему? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	07.09.2014, 12:11	2
	DPD, crypto isakmp keepalive 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	08.09.2014, 09:56 [ТС]	3
	А можно поподробней? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	08.09.2014, 11:00	4
	можно, вот 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	08.09.2014, 12:54 [ТС]	5
	поставил crypto isakmp keepalive 20 periodic не помогло. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	08.09.2014, 16:47	6
	Andrei Agafonov, так может проблема с стороны микротика? Уберите periodic, оставьте по-умолчанию Не по теме: Вы не пробывали выкинуть его, к примеру? 0

@cat_driver 58 / 49 / 3 Регистрация: 19.12.2013 Сообщений: 203
	08.09.2014, 17:17	7
	а какой софт у вас на микротике? погуглите по багами Ipsec возможно обновиться нужно или наоборот задаунгрейдить 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	09.09.2014, 06:09	8
	Andrei Agafonov, была подобная проблема, правда между Juniper и Cisco. Как оказалось, виной были не совсем идентичные политики, а точнее lifetime на сторонах. Не факт, что проблема в том же, но проверить стоит. 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	09.09.2014, 09:39 [ТС]	9
	В чём проблема то я сумел понять, даже ход решения логичен и прост. Решение примерно такое, роутеры друг друга пингуют по туннелю, и в момент когда пинг не прошёл (пусть будет 4 пакета) они выполняли команду сброса ключей. Вопрос в том как это автоматизировать и написать скриптовку (да костыль но иных идей пока что нет) outl4w, Lifetime и с той и с другой стороны 8 часов, если сделать раз в полчаса, микротик начинает плодить ключи cat_driver, 6.19, проблема была на 6.16 но вроде как пофиксили, новее пока что прошивки нет, а даунгредиться не понятно до какой 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	09.09.2014, 11:09	10
	Сообщение от Andrei Agafonov Вопрос в том как это автоматизировать и написать скриптовку Если только к ip sla прикрутить event manager на сброс SA. А туннель поднимается исключительно после ребута микротика или достаточно на кошке сделать clear cry isa и он поднимется? 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	10.09.2014, 10:05 [ТС]	11
	outl4w, достаточно очистить ключи на циске, то есть насколько я понимаю микротик ключи свои убивает а циска нет, в результате чего микротик ждёт конца жизни 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	11.09.2014, 09:20	12
	Andrei Agafonov, а Вы не обращали внимание, SA какой фазы сбоят? Не могли бы сделать в момент падения: sh cry isa sa и sh cry ipsec sa ? 0