[freebsd] ipsec freebsd <-> mikrotik: пропадает соединение.

[Eugene V. Boontseff]

Здравствуйте, коллеги!

У меня настроен ipsec между домашней машиной с freebsd 11.3 stable и
микротиком  (RO 6.46.6)в удаленной сети.
Заметил, что периодически соединение падает, и доступ в удалённую
локалку прекращается.
Стал смотреть, с чем связано. И заметил такое:
У SA лафтайм 60 минут (48 soft). По истечении 48 минут, генерятся новые
SA. На миктротке видно, что в некоторых случаях для шифрования сразу
начинают использоваться новые, и тогда все нормально. Но в некоторых
случаях продолжает использоваться старые. Вот тогда, когда время жизни
старых истекает, то на микротике удаляются вообще все SA, а на freebsd
только с истекшим временем жизни. Соединение падает до следующей генерации.
Установил во фре net.key.preferred_oldsa=0, и показалось, что помогло.
Но нет. Проявляться стало реже, но совсем не прекратилось.
Какие есть мысли, что с этим делать?
PS. конфигами не стал засорять письмо, но если поможет, покажу, что
потребуется.

--
Eugene

_______________________________________________
freebsd mailing list
fre...@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[Eugene Grosbein]

01.06.2020 0:29, Eugene V. Boontseff wrote:

> Здравствуйте, коллеги!
>
> У меня настроен ipsec между домашней машиной с freebsd 11.3 stable и микротиком (RO 6.46.6)в удаленной сети.
> Заметил, что периодически соединение падает, и доступ в удалённую локалку прекращается.
> Стал смотреть, с чем связано. И заметил такое:
> У SA лафтайм 60 минут (48 soft). По истечении 48 минут, генерятся новые SA. На миктротке видно, что в некоторых случаях для шифрования сразу начинают использоваться новые, и тогда все нормально. Но в некоторых случаях продолжает использоваться старые. Вот тогда, когда время жизни старых истекает, то на микротике удаляются вообще все SA, а на freebsd только с истекшим временем жизни. Соединение падает до следующей генерации.
> Установил во фре net.key.preferred_oldsa=0, и показалось, что помогло. Но нет. Проявляться стало реже, но совсем не прекратилось.
> Какие есть мысли, что с этим делать?
> PS. конфигами не стал засорять письмо, но если поможет, покажу, что потребуется.

1. Обновить RouterOS до последней стабильной версии.
2. net.key.preferred_oldsa=0 это правильно, нужно всегда выставлять.
3. Нужно включить Dead Peer Detection (DPD) настройках IKE, желательно с обоих сторон.
4. 60 минут это очень мало. Я обычно ставлю 12 часов (как минимум 8 - длина рабочего дня).

Какой софт для IKE используется на FreeBSD и кто из двоих систем инициатор?

[Eugene V. Boontseff]

On 31.05.2020 21:30, Eugene Grosbein wrote:
> 01.06.2020 0:29, Eugene V. Boontseff wrote:
>
>> Здравствуйте, коллеги!
>>
>> У меня настроен ipsec между домашней машиной с freebsd 11.3 stable и микротиком (RO 6.46.6)в удаленной сети.
>> Заметил, что периодически соединение падает, и доступ в удалённую локалку прекращается.
>> Стал смотреть, с чем связано. И заметил такое:
>> У SA лафтайм 60 минут (48 soft). По истечении 48 минут, генерятся новые SA. На миктротке видно, что в некоторых случаях для шифрования сразу начинают использоваться новые, и тогда все нормально. Но в некоторых случаях продолжает использоваться старые. Вот тогда, когда время жизни старых истекает, то на микротике удаляются вообще все SA, а на freebsd только с истекшим временем жизни. Соединение падает до следующей генерации.
>> Установил во фре net.key.preferred_oldsa=0, и показалось, что помогло. Но нет. Проявляться стало реже, но совсем не прекратилось.
>> Какие есть мысли, что с этим делать?
>> PS. конфигами не стал засорять письмо, но если поможет, покажу, что потребуется.
> 1. Обновить RouterOS до последней стабильной версии.

Там последняя стабильная 6.46.6

> 2. net.key.preferred_oldsa=0 это правильно, нужно всегда выставлять.
> 3. Нужно включить Dead Peer Detection (DPD) настройках IKE, желательно с обоих сторон.

На микротке стоит DPD interval 120 s, в ракуне сейчас поставил тоже:
dpd_delay 120; - это же в remote { .. }?

> 4. 60 минут это очень мало. Я обычно ставлю 12 часов (как минимум 8 - длина рабочего дня).

У меня и было 12. Я поставил так, когда искал в чем проблема.

>
> Какой софт для IKE используется на FreeBSD и кто из двоих систем инициатор?
>
>

racoon, freebsd инициатор, потому что ip не постоянный.
>

--
Eugene

[Eugene Grosbein]

01.06.2020 2:23, Eugene V. Boontseff пишет:

>> 3. Нужно включить Dead Peer Detection (DPD) настройках IKE, желательно с обоих сторон.
> На микротке стоит DPD interval 120 s, в ракуне сейчас поставил тоже: dpd_delay 120; - это же в remote { .. }?

Да, у меня работает что-то типа такого:

dpd_delay 5;
dpd_retry 5;
dpd_maxfail 12;

>> 4. 60 минут это очень мало. Я обычно ставлю 12 часов (как минимум 8 - длина рабочего дня).
> У меня и было 12. Я поставил так, когда искал в чем проблема.
>> Какой софт для IKE используется на FreeBSD и кто из двоих систем инициатор?
> racoon, freebsd инициатор, потому что ip не постоянный.

Ну и хорошо, за счёт DPD в таких случаях ракун будет просто переустанавливать с нуля сессию IKE,
а за счёт 12 часов это будет происходить почти всегда незаметно.

А вообще надо в поддержку RouterOS писать и спрашивать, мол какого фига.

[Eugene V. Boontseff]

On 31.05.2020 22:39, Eugene Grosbein wrote:
> 01.06.2020 2:23, Eugene V. Boontseff пишет:
>
>>> 3. Нужно включить Dead Peer Detection (DPD) настройках IKE, желательно с обоих сторон.
>> На микротке стоит DPD interval 120 s, в ракуне сейчас поставил тоже: dpd_delay 120; - это же в remote { .. }?
> Да, у меня работает что-то типа такого:
>
> dpd_delay 5;
> dpd_retry 5;
> dpd_maxfail 12;
>
>>> 4. 60 минут это очень мало. Я обычно ставлю 12 часов (как минимум 8 - длина рабочего дня).
>> У меня и было 12. Я поставил так, когда искал в чем проблема.
>>> Какой софт для IKE используется на FreeBSD и кто из двоих систем инициатор?
>> racoon, freebsd инициатор, потому что ip не постоянный.
> Ну и хорошо, за счёт DPD в таких случаях ракун будет просто переустанавливать с нуля сессию IKE,
> а за счёт 12 часов это будет происходить почти всегда незаметно.

спасиб большой! понаблюдаю, как будет происходить и переставлю снова на
12 часов.

>
> А вообще надо в поддержку RouterOS писать и спрашивать, мол какого

Угу, пойду спрошу!

--
Eugene

[Дружин Александр Васильевич]

From: Eugene Grosbein
Sent: Sunday, May 31, 2020 9:31 PM

>> У меня настроен ipsec между домашней машиной с freebsd 11.3 stable и микротиком (RO 6.46.6)в удаленной сети.
>> Заметил, что периодически соединение падает, и доступ в удалённую локалку прекращается.
>> Стал смотреть, с чем связано. И заметил такое:
>> У SA лафтайм 60 минут (48 soft). По истечении 48 минут, генерятся новые SA. На миктротке видно, что в некоторых случаях для шифрования сразу начинают использоваться новые, и тогда все нормально. Но в некоторых случаях продолжает использоваться старые. Вот тогда, когда время жизни старых истекает, то на микротике удаляются вообще все SA, а на freebsd только с истекшим временем жизни. Соединение падает до следующей генерации.
>> Установил во фре net.key.preferred_oldsa=0, и показалось, что помогло. Но нет. Проявляться стало реже, но совсем не прекратилось.
>> Какие есть мысли, что с этим делать?
>> PS. конфигами не стал засорять письмо, но если поможет, покажу, что потребуется.

>1. Обновить RouterOS до последней стабильной версии.

По моим наблюдениям эта неприятность как раз в поздних версиях нарисовалась, раньше такого не было.
Точно циферки не назову.