0 / 0 / 0
Регистрация: 04.09.2014
Сообщений: 6
|
|
1 | |
IPSec VPN между Mikrotik и Cisco04.09.2014, 14:16. Показов 8294. Ответов 12
Метки нет (Все метки)
Есть ЦО где стоит циска, есть офис где микротик.
У офиса провайдер так себе поэтому канал периодически падает. При восстановлении канала VPN не поднимается так как на циски не сбрасывается сас ключи, но после ребута микротика впн поднимается спокойно. в связке: ip ipsec installed-sa flush - со стороны микротик router(config)#crypto isakmp invalid-spi-recovery со стороны циски - всё поднимается Собственно вопрос как автоматизировать? Либо какими способами возможно решить данную проблему?
0
|
04.09.2014, 14:16 | |
Ответы с готовыми решениями:
12
Mikrotik ipsec vpn Настройка IPSec на Mikrotik Настройка site-to-site VPN между Kerio и Mikrotik Mikrotik TO Mikrotik (VPN) |
0 / 0 / 0
Регистрация: 04.09.2014
Сообщений: 6
|
|
08.09.2014, 09:56 [ТС] | 3 |
А можно поподробней?
0
|
0 / 0 / 0
Регистрация: 04.09.2014
Сообщений: 6
|
|
08.09.2014, 12:54 [ТС] | 5 |
поставил crypto isakmp keepalive 20 periodic
не помогло.
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
08.09.2014, 16:47 | 6 |
Andrei Agafonov, так может проблема с стороны микротика? Уберите periodic, оставьте по-умолчанию
Не по теме: Вы не пробывали выкинуть его, к примеру?
0
|
58 / 49 / 3
Регистрация: 19.12.2013
Сообщений: 203
|
|
08.09.2014, 17:17 | 7 |
а какой софт у вас на микротике? погуглите по багами Ipsec возможно обновиться нужно или наоборот задаунгрейдить
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
09.09.2014, 06:09 | 8 |
Andrei Agafonov, была подобная проблема, правда между Juniper и Cisco. Как оказалось, виной были не совсем идентичные политики, а точнее lifetime на сторонах. Не факт, что проблема в том же, но проверить стоит.
0
|
0 / 0 / 0
Регистрация: 04.09.2014
Сообщений: 6
|
|
09.09.2014, 09:39 [ТС] | 9 |
В чём проблема то я сумел понять, даже ход решения логичен и прост.
Решение примерно такое, роутеры друг друга пингуют по туннелю, и в момент когда пинг не прошёл (пусть будет 4 пакета) они выполняли команду сброса ключей. Вопрос в том как это автоматизировать и написать скриптовку (да костыль но иных идей пока что нет) outl4w, Lifetime и с той и с другой стороны 8 часов, если сделать раз в полчаса, микротик начинает плодить ключи cat_driver, 6.19, проблема была на 6.16 но вроде как пофиксили, новее пока что прошивки нет, а даунгредиться не понятно до какой
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
09.09.2014, 11:09 | 10 |
Если только к ip sla прикрутить event manager на сброс SA.
А туннель поднимается исключительно после ребута микротика или достаточно на кошке сделать clear cry isa и он поднимется?
0
|
0 / 0 / 0
Регистрация: 04.09.2014
Сообщений: 6
|
|
10.09.2014, 10:05 [ТС] | 11 |
outl4w, достаточно очистить ключи на циске, то есть насколько я понимаю микротик ключи свои убивает а циска нет, в результате чего микротик ждёт конца жизни
0
|
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
|
|
11.09.2014, 09:20 | 12 |
Andrei Agafonov, а Вы не обращали внимание, SA какой фазы сбоят?
Не могли бы сделать в момент падения: sh cry isa sa и sh cry ipsec sa ?
0
|
0 / 0 / 0
Регистрация: 04.09.2014
Сообщений: 6
|
|
23.09.2014, 16:23 [ТС] | 13 |
Собственно решил проблему, со стороны циски настраивается вот такая конфига:
event manager environment _exchserv 192.168.1.23 \\адрес почтовика event manager environment _adminadress ito@mailhost.ru \\адрес кому присылать event manager environment _report cisco_rep@mailhost.ru \\кто присылает ip sla 2 icmp-echo 192.168.15.1 source-ip 192.168.0.1 \\кого пингуем, через какой интерфейс frequency 2 ip sla schedule 2 life forever start-time now track 2 ip sla 2 reachability delay down 5 up 5 \\время определения канала event manager applet host_VPN_is_down event track 2 state down action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping DOWN" action 1.1 cli command "clear crypto sa peer 86.62.120.1" \\очищает ключи конкретного пира event manager applet host_VPN_is_up event track 9 state up action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping UP"
0
|
23.09.2014, 16:23 | |
23.09.2014, 16:23 | |
Помогаю со студенческими работами здесь
13
VPN между Mikrotik RB751 и Zyxel Keenetic Giga II Настройка VPN IPsec Tunnel VPN на Mikrotik VPN Mikrotik Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |