@UlfHedNarNix
Главная железка Kerio Control. К ней подключены по IPsec удаленные Mikrotik(и) (Hap Lite)
Иногда туннели падают и поднимаются минут 7-10 (некоторые и дольше), и нарушают работу внутренних сервисов, в частности 1С которая подключается по внутреннему домену.
Шифрование использую sha1, 3des, sha-128-cbc, sha-256-cbc, modp-1536, modp-2048.
Думаю о двух вариантах. Первое грешу на слабое железо в микротиках, может озу забивает и роняет туннель. Второе грешу на настройки лайвтаймов, ттл и т.п. Может дефолтные настройки по времени жизни нужно детально настроить?
Особо не силен в в этом, прошу помощи.
Спасибо за внимание.
Иногда туннели падают и поднимаются минут 7-10 (некоторые и дольше), и нарушают работу внутренних сервисов, в частности 1С которая подключается по внутреннему домену.
Шифрование использую sha1, 3des, sha-128-cbc, sha-256-cbc, modp-1536, modp-2048.
Думаю о двух вариантах. Первое грешу на слабое железо в микротиках, может озу забивает и роняет туннель. Второе грешу на настройки лайвтаймов, ттл и т.п. Может дефолтные настройки по времени жизни нужно детально настроить?
Особо не силен в в этом, прошу помощи.
Спасибо за внимание.
Решения вопроса 0
Ответы на вопрос 1
@CityCat4
Первое, что приходит на ум — DPD. Если DPD включен, нужно чтобы керио его правильно ловил а не опускал соединение по неактивности (этим грешит racoon)
второе — при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 — 10 минут может занять).
второе — при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 — 10 минут может занять).
Что можно сделать — посмотреть таймауты по фазам и политику их назначения и если можно забрать на микротики их назначение, может быть прибавить времени, отключить dpd (разумеется это все при наличии возможности это сделать — а то может быть там фиксированный набор настроек)