Какие причины могут приводить к нестабильной работе gre over ipsec?

Question

AstralWhirlwind

mikrotik

Какие причины могут приводить к нестабильной работе gre over ipsec?

Почему нестабильно работает ipsec туннель и как решить проблему с падением bgp и отсутствием трафика?
 
С двух сторон используются маршрутизаторы MikroTik с прошивкой 6.47.7.
 
Проблема заключается в следующем: через несколько часов (преимущественно примерно через 9) ipsec peer переходит в состояние established, но трафик не проходит, а bgp падает. Единственное решение - уничтожение соединений (kill connections). В логах вижу следующие строки: "ipsec dpd collision" и "ipsec,debug reply ignored".
 
Настройки:
 
1. Создается gre туннель:
interface gre add allow-fast-path=no !keepalive local-address=1.1.1.1 name=gre-tunnel-16 remote-address=2.2.2.2
 
2. Назначается ip адрес для gre туннеля:
ip address add address=172.31.20.237/30 interface=gre-tunnel-16 network=172.31.20.236
 
3. Спецификации ipsec:
ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-128-cbc lifetime=12h name=gre-roznica pfs-group=modp2048
 
4. Профиль ipsec:
ip ipsec profile add dh-group=modp2048 dpd-interval=5s dpd-maximum-failures=4 enc-algorithm=aes-128 hash-algorithm=sha256 name=gre-roznica
 
5. Пиры ipsec:
ip ipsec peer add address=2.2.2.2/32 exchange-mode=ike2 name=tunnel-16 profile=gre-roznica
 
6. Идентификация ipsec:
ip ipsec identity add peer=tunnel-16 secret=passssssssss
 
7. Политика ipsec:
ip ipsec policy add dst-address=2.2.2.2/32 peer=tunnel-16 proposal=gre-roznica protocol=gre src-address=1.1.1.1/32
 
Настройки в центральном офисе и удаленных объектах идентичны, за исключением следующего:
- Протокол в политике в центральном офисе установлен на 255, так как некоторые туннели указывали статус "invalid". 
- В центральном офисе в настройках пира используется пассивный режим (passive).

13 октября 2023 г. 9:20

Ответы на вопрос 2

Похожие вопросы

Answer 1

Существует несколько причин, которые могут привести к нестабильной работе гре-туннеля IPv6 через IPsec:

1. Неправильная конфигурация IPsec: Убедитесь, что вы правильно настроили IPsec пиры, спецификации, профили и политики. Проверьте, что используемые алгоритмы шифрования и аутентификации совпадают с обеих сторон туннеля.

2. Проблемы сетевого соединения: Проверьте, что сетевое соединение между маршрутизаторами MikroTik стабильно. Убедитесь, что сетевые устройства, такие как коммутаторы или фаерволлы, не блокируют трафик, проходящий через туннель.

3. Проблемы с ключом шифрования: Проверьте, что ключи шифрования IPsec правильно настроены на обеих сторонах туннеля. Если ключи шифрования разные или несовпадают, это может привести к нестабильной работе туннеля.

Чтобы решить проблему с падением BGP и отсутствием трафика, вы можете попробовать следующие действия:

1. Перезапустите IPsec туннель: Попробуйте перезапустить IPsec туннель на обеих сторонах путем отключения и повторного включения туннеля или перезагрузки маршрутизаторов.

2. Проверьте логи: Просмотрите логи на обоих маршрутизаторах, чтобы увидеть возможные ошибки или предупреждения, связанные с IPsec или BGP. Обратите внимание на строки "ipsec dpd collision" и "ipsec,debug reply ignored", так как они могут указывать на проблему.

3. Проверьте настройки BGP: Убедитесь, что настройки BGP на обоих маршрутизаторах правильно настроены и совпадают. Проверьте, что AS номер, соседи BGP и сети, которые вы хотите объявить через BGP, настроены правильно.

4. Проверьте физическое соединение: Проверьте физическое соединение между маршрутизаторами MikroTik. Убедитесь, что все кабели подключены должным образом и нет никаких физических проблем со связью.

Если эти шаги не помогут решить проблему, рекомендуется связаться с производителем маршрутизаторов MikroTik для получения поддержки и дальнейшей диагностики проблемы.

Answer 2

Запрещение службы доставки DPD может быть заменено на разрешение использовать другие службы доставки.