Раз в три часа падают VPN туннели, IDECO to MIKROTIK

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Раз в три часа падают VPN туннели, IDECO to MIKROTIK

Сообщение инженерНЕФТО » 04 ноя 2019, 17:33

Добрый день уважаемые Инженеры.
Подскажите в чем может быть проблема, что донастроить, изменить и т.д. что бы все работало стабильно ?
Имеется шлюз IDECO UTM 7.8.9 (Build 103) на котором IPsec VPN туннель, с Mikrotik RouterOS 6.44.5.
Все настраивалось по инструкциям с сайта, тип подключения выбран Входящее.
В итоге каждые три часа наблюдаем обрыв соединения, новую авторизацию пиров и нормальную работу туннелей на еще три часа.
Я так предполагаю это происходит потому что IDECO не может выполнить свою Replacement IKE процедуру и обрывает соединение.
Логи прилагаю, как можно исправить данную ситуацию ?
Спасибо за помощь.

Логи с IDECO
00:25:52.193550 info charon: 07[NET] <FromDevice_673643969|175> received packet: from 192.168.240.2[4500] to 192.168.220.2[4500] (144 bytes)
00:25:52.193570 info charon: 07[ENC] <FromDevice_673643969|175> parsed INFORMATIONAL request 80 [ ]
00:25:52.193574 info charon: 07[ENC] <FromDevice_673643969|175> generating INFORMATIONAL response 80 [ ]
00:25:52.193578 info charon: 07[NET] <FromDevice_673643969|175> sending packet: from 192.168.220.2[4500] to 192.168.240.2[4500] (80 bytes)
00:25:58.689291 info charon: 13[IKE] <FromDevice_673643969|175> reauthenticating IKE_SA FromDevice_673643969[175]
00:25:58.689311 info charon: 13[IKE] <FromDevice_673643969|175> deleting IKE_SA FromDevice_673643969[175] between 192.168.220.2[192.168.220.2]...192.168.240.2[rtr-nord-1]
00:25:58.689315 info charon: 13[IKE] <FromDevice_673643969|175> sending DELETE for IKE_SA FromDevice_673643969[175]
00:25:58.689319 info charon: 13[ENC] <FromDevice_673643969|175> generating INFORMATIONAL request 8 [ D ]
00:25:58.689323 info charon: 13[NET] <FromDevice_673643969|175> sending packet: from 192.168.220.2[4500] to 192.168.240.2[4500] (80 bytes)
00:25:58.702882 info charon: 08[NET] <FromDevice_673643969|175> received packet: from 192.168.240.2[4500] to 192.168.220.2[4500] (128 bytes)
00:25:58.702903 info charon: 08[ENC] <FromDevice_673643969|175> parsed INFORMATIONAL response 8 [ ]
00:25:58.702907 info charon: 08[IKE] <FromDevice_673643969|175> IKE_SA deleted
00:25:58.702910 info charon: 08[IKE] <FromDevice_673643969|175> restarting CHILD_SA FromDevice_673643969
00:25:58.702914 info charon: 08[IKE] <FromDevice_673643969|175> initiating IKE_SA FromDevice_673643969[176] to 192.168.240.2
00:25:58.751347 info charon: 08[ENC] <FromDevice_673643969|175> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(REDIR_SUP) ]
00:25:58.751765 info charon: 08[NET] <FromDevice_673643969|175> sending packet: from 192.168.220.2[4500] to 192.168.240.2[4500] (756 bytes)
00:26:02.753091 info charon: 07[IKE] <FromDevice_673643969|176> retransmit 1 of request with message ID 0
00:26:02.753110 info charon: 07[NET] <FromDevice_673643969|176> sending packet: from 192.168.220.2[4500] to 192.168.240.2[4500] (756 bytes)
00:26:06.240909 info charon: 06[NET] <FromDevice_673643969|176> received packet: from 192.168.240.2[4500] to 192.168.220.2[4500] (685 bytes)
00:26:06.240930 info charon: 06[ENC] <FromDevice_673643969|176> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ ]
00:26:06.241991 info charon: 16[MGR] ignoring request with ID 0, already processing
00:26:06.291031 info charon: 06[IKE] <FromDevice_673643969|176> sending cert request for "CN=UTM 20190503120452"
00:26:06.291420 info charon: 06[CFG] <FromDevice_673643969|176> no IDi configured, fall back on IP address
00:26:06.291668 info charon: 06[IKE] <FromDevice_673643969|176> authentication of '192.168.220.2' (myself) with pre-shared key
00:26:06.291967 info charon: 06[IKE] <FromDevice_673643969|176> establishing CHILD_SA FromDevice_673643969{152}
00:26:06.292298 info charon: 06[ENC] <FromDevice_673643969|176> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(EAP_ONLY) ]
00:26:06.292639 info charon: 06[NET] <FromDevice_673643969|176> sending packet: from 192.168.220.2[4500] to 192.168.240.2[4500] (320 bytes)
00:26:06.319318 info charon: 13[NET] <FromDevice_673643969|176> received packet: from 192.168.240.2[4500] to 192.168.220.2[4500] (448 bytes)
00:26:06.319753 info charon: 13[ENC] <FromDevice_673643969|176> parsed IKE_AUTH response 1 [ IDr AUTH TSi TSr SA ]
00:26:06.320123 info charon: 13[IKE] <FromDevice_673643969|176> authentication of 'rtr-nord-1' with pre-shared key successful
00:26:06.320399 info charon: 13[IKE] <FromDevice_673643969|176> IKE_SA FromDevice_673643969[176] established between 192.168.220.2[192.168.220.2]...192.168.240.2[rtr-nord-1]
00:26:06.320632 info charon: 13[IKE] <FromDevice_673643969|176> scheduling reauthentication in 9802s
00:26:06.320878 info charon: 13[IKE] <FromDevice_673643969|176> maximum IKE_SA lifetime 10342s
00:26:06.321604 info charon: 13[IKE] <FromDevice_673643969|176> CHILD_SA FromDevice_673643969{6903} established with SPIs c9497920_i 0dd60aba_o and TS 192.168.20.0/24 === 192.168.11.0/24

Логи Mikrotik
# /2019 11:40:20 by RouterOS 6.44.5
# software id = RKAW-5XY7
00:25:58 ipsec,info killing ike2 SA: 192.168.240.2[4500]-192.168.220.2[4500] spi:aa96b75f1d568c21:c5e20cd4a5b6d182
00:26:00 script,warning NetWatch: Ping OVER 400ms to 192.168.20.101
00:26:06 ipsec,info new ike2 SA (R): 192.168.240.2[4500]-192.168.220.2[4500] spi:44d8a53df1516502:98402a8e53b38aff
00:26:06 ipsec,info,account peer authorized: 192.168.240.2[4500]-192.168.220.2[4500] spi:44d8a53df1516502:98402a8e53b38aff
00:26:10 script,warning NetWatch: Ping GOOD < 400ms to 192.168.20.101
инженерНЕФТО
Пользователь
 
Сообщения: 1
Зарегистрирован: 25 окт 2019, 11:39

Re: Раз в три часа падают VPN туннели, IDECO to MIKROTIK

Сообщение ideco.dmitriy » 06 ноя 2019, 16:14

Добрый день!
Если вы используете коммерческую версию UTM, обратитесь, пожалуйста, на портал поддержки.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2090
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: MSN [Bot] и гости: 1