IPSec VPN между Mikrotik и Cisco

@Andrei Agafonov · Регистрация: 04.09.2014

Author24 — интернет-сервис помощи студентам

Есть ЦО где стоит циска, есть офис где микротик.
У офиса провайдер так себе поэтому канал периодически падает.
При восстановлении канала VPN не поднимается так как на циски не сбрасывается сас ключи, но после ребута микротика впн поднимается спокойно.

в связке:
ip ipsec installed-sa flush - со стороны микротик
router(config)#crypto isakmp invalid-spi-recovery со стороны циски - всё поднимается
Собственно вопрос как автоматизировать? Либо какими способами возможно решить данную проблему?

Jabbson · 07.09.2014, 12:11

DPD, crypto isakmp keepalive

@Andrei Agafonov · 08.09.2014, 09:56 **[ТС]**

А можно поподробней?

Jabbson · 08.09.2014, 11:00

можно, вот

@Andrei Agafonov · 08.09.2014, 12:54 **[ТС]**

поставил crypto isakmp keepalive 20 periodic
не помогло.

@MonaxGT · 08.09.2014, 16:47

Andrei Agafonov, так может проблема с стороны микротика? Уберите periodic, оставьте по-умолчанию

Не по теме:

Вы не пробывали выкинуть его, к примеру?

@cat_driver · 08.09.2014, 17:17

а какой софт у вас на микротике? погуглите по багами Ipsec возможно обновиться нужно или наоборот задаунгрейдить

@outl4w · 09.09.2014, 06:09

Andrei Agafonov, была подобная проблема, правда между Juniper и Cisco. Как оказалось, виной были не совсем идентичные политики, а точнее lifetime на сторонах. Не факт, что проблема в том же, но проверить стоит.

@Andrei Agafonov · 09.09.2014, 09:39 **[ТС]**

В чём проблема то я сумел понять, даже ход решения логичен и прост.
Решение примерно такое, роутеры друг друга пингуют по туннелю, и в момент когда пинг не прошёл (пусть будет 4 пакета) они выполняли команду сброса ключей. Вопрос в том как это автоматизировать и написать скриптовку (да костыль но иных идей пока что нет)
outl4w, Lifetime и с той и с другой стороны 8 часов, если сделать раз в полчаса, микротик начинает плодить ключи
cat_driver, 6.19, проблема была на 6.16 но вроде как пофиксили, новее пока что прошивки нет, а даунгредиться не понятно до какой

@outl4w · 09.09.2014, 11:09

Сообщение от Andrei Agafonov

Вопрос в том как это автоматизировать и написать скриптовку

Если только к ip sla прикрутить event manager на сброс SA.

А туннель поднимается исключительно после ребута микротика или достаточно на кошке сделать clear cry isa и он поднимется?

@Andrei Agafonov · 10.09.2014, 10:05 **[ТС]**

outl4w, достаточно очистить ключи на циске, то есть насколько я понимаю микротик ключи свои убивает а циска нет, в результате чего микротик ждёт конца жизни

@outl4w · 11.09.2014, 09:20

Andrei Agafonov, а Вы не обращали внимание, SA какой фазы сбоят?
Не могли бы сделать в момент падения: sh cry isa sa и sh cry ipsec sa ?

@Andrei Agafonov · 23.09.2014, 16:23 **[ТС]**

Собственно решил проблему, со стороны циски настраивается вот такая конфига:

event manager environment _exchserv 192.168.1.23 \\адрес почтовика
event manager environment _adminadress ito@mailhost.ru \\адрес кому присылать
event manager environment _report cisco_rep@mailhost.ru \\кто присылает

ip sla 2
icmp-echo 192.168.15.1 source-ip 192.168.0.1 \\кого пингуем, через какой интерфейс
frequency 2
ip sla schedule 2 life forever start-time now

track 2 ip sla 2 reachability
delay down 5 up 5 \\время определения канала

event manager applet host_VPN_is_down
event track 2 state down
action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping DOWN"
action 1.1 cli command "clear crypto sa peer 86.62.120.1" \\очищает ключи конкретного пира

event manager applet host_VPN_is_up
event track 9 state up
action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping UP"

Новые блоги и статьи Все статьи Все блоги /
Исключения в Java: советы, примеры кода и многое другое Javaican 18.05.2025 Исключения — это объекты, созданные когда программа сталкивается с непредвиденной ситуацией: файл не найден, сетевое соединение разорвано, деление на ноль. . . Список можно продолжать до бесконечности. . . .	Как сделать SSO (Single Sign-On) в C# приложении stackOverflow 18.05.2025 SSO — это механизм, позволяющий пользователю пройти аутентификацию один раз и получить доступ к нескольким приложениям без повторного ввода учетных данных. Вы наверняка сталкивались с ним, когда. . .	Kubernetes с Apache Flink для обработки данных в реальном времени Mr. Docker 17.05.2025 Kubernetes — это целая философия управления распределёнными приложениями. В отличие от "примитивных" решений вроде Docker Swarm, K8s (как его ласково называют в тусовке DevOps-инженеров) предлагает. . .	Использование декораторов в Python py-thonny 17.05.2025 Если вы когда-нибудь задумывались о том, как красиво расширить функциональность кода без лишней возни и дублирования, декораторы в Python — та самая волшебная палочка, которую вы искали. По сути, это. . .	Реализация многопоточных сетевых серверов на Python py-thonny 16.05.2025 Когда сталкиваешься с необходимостью писать высоконагруженные сетевые сервисы, выбор технологии имеет критическое значение. Python, со своей элегантностью и высоким уровнем абстракции, может. . .
C# и IoT: разработка Edge приложений с .NET и Azure IoT UnmanagedCoder 16.05.2025 Мир меняется прямо на наших глазах, и интернет вещей (IoT) — один из главных катализаторов этих перемен. Если всего десять лет назад концепция "умных" устройств вызывала скептические улыбки, то. . .	Гибридные квантово-классические вычисления: Примеры оптимизации EggHead 16.05.2025 Гибридные квантово-классические вычисления — это настоящий прорыв в подходах к решению сложнейших вычислительных задач. Представьте себе союз двух разных миров: классические компьютеры, с их. . .	Использование вебсокетов в приложениях Java с Netty Javaican 16.05.2025 HTTP, краеугольный камень интернета, изначально был спроектирован для передачи гипертекста с минимальной интерактивностью. Его главный недостаток в контексте современных приложений — это. . .	Реализация операторов Kubernetes Mr. Docker 16.05.2025 Концепция операторов Kubernetes зародилась в недрах компании CoreOS (позже купленной Red Hat), когда команда инженеров искала способ автоматизировать управление распределёнными базами данных в. . .	Отражение в C# и динамическое управление типами stackOverflow 16.05.2025 Reflection API в . NET — это набор классов и интерфейсов в пространстве имён System. Reflection, который позволяет исследовать и манипулировать типами, методами, свойствами и другими элементами. . .

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6

	IPSec VPN между Mikrotik и Cisco 04.09.2014, 14:16. Показов 8543. Ответов 12 Метки нет (Все метки) Есть ЦО где стоит циска, есть офис где микротик. У офиса провайдер так себе поэтому канал периодически падает. При восстановлении канала VPN не поднимается так как на циски не сбрасывается сас ключи, но после ребута микротика впн поднимается спокойно. в связке: ip ipsec installed-sa flush - со стороны микротик router(config)#crypto isakmp invalid-spi-recovery со стороны циски - всё поднимается Собственно вопрос как автоматизировать? Либо какими способами возможно решить данную проблему? 0

Jabbson 5904 / 3357 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	07.09.2014, 12:11
	DPD, crypto isakmp keepalive 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	08.09.2014, 09:56 [ТС]
	А можно поподробней? 0

Jabbson 5904 / 3357 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	08.09.2014, 11:00
	можно, вот 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	08.09.2014, 12:54 [ТС]
	поставил crypto isakmp keepalive 20 periodic не помогло. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	08.09.2014, 16:47
	Andrei Agafonov, так может проблема с стороны микротика? Уберите periodic, оставьте по-умолчанию Не по теме: Вы не пробывали выкинуть его, к примеру? 0

@cat_driver 58 / 49 / 3 Регистрация: 19.12.2013 Сообщений: 203
	08.09.2014, 17:17
	а какой софт у вас на микротике? погуглите по багами Ipsec возможно обновиться нужно или наоборот задаунгрейдить 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	09.09.2014, 06:09
	Andrei Agafonov, была подобная проблема, правда между Juniper и Cisco. Как оказалось, виной были не совсем идентичные политики, а точнее lifetime на сторонах. Не факт, что проблема в том же, но проверить стоит. 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	09.09.2014, 09:39 [ТС]
	В чём проблема то я сумел понять, даже ход решения логичен и прост. Решение примерно такое, роутеры друг друга пингуют по туннелю, и в момент когда пинг не прошёл (пусть будет 4 пакета) они выполняли команду сброса ключей. Вопрос в том как это автоматизировать и написать скриптовку (да костыль но иных идей пока что нет) outl4w, Lifetime и с той и с другой стороны 8 часов, если сделать раз в полчаса, микротик начинает плодить ключи cat_driver, 6.19, проблема была на 6.16 но вроде как пофиксили, новее пока что прошивки нет, а даунгредиться не понятно до какой 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	10.09.2014, 10:05 [ТС]
	outl4w, достаточно очистить ключи на циске, то есть насколько я понимаю микротик ключи свои убивает а циска нет, в результате чего микротик ждёт конца жизни 0

Опции темы

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	11.09.2014, 09:20
	Andrei Agafonov, а Вы не обращали внимание, SA какой фазы сбоят? Не могли бы сделать в момент падения: sh cry isa sa и sh cry ipsec sa ? 0

@Andrei Agafonov 0 / 0 / 0 Регистрация: 04.09.2014 Сообщений: 6
	23.09.2014, 16:23 [ТС]
	Собственно решил проблему, со стороны циски настраивается вот такая конфига: event manager environment _exchserv 192.168.1.23 \\адрес почтовика event manager environment _adminadress ito@mailhost.ru \\адрес кому присылать event manager environment _report cisco_rep@mailhost.ru \\кто присылает ip sla 2 icmp-echo 192.168.15.1 source-ip 192.168.0.1 \\кого пингуем, через какой интерфейс frequency 2 ip sla schedule 2 life forever start-time now track 2 ip sla 2 reachability delay down 5 up 5 \\время определения канала event manager applet host_VPN_is_down event track 2 state down action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping DOWN" action 1.1 cli command "clear crypto sa peer 86.62.120.1" \\очищает ключи конкретного пира event manager applet host_VPN_is_up event track 9 state up action 1.0 mail server "$_exchserv" to "$_adminadress" from "$_report" subject "VPN ping UP" 0