У нас около 20 сайтов, соединённых через IPSEC. После обновления NGFW соединение по IPSEC стало нестабильным. Раньше IPSEC работал нормально. Иногда он работает, а иногда несколько дней на некоторых сайтах вообще не работает. Всё очень случайно и трудно отследить. У нас разное железо Mikrotik (RB2011UiAS-2HnD, hAP ac, hAP ac lite), разные версии (6.49.2 и 6.49.7), разные интернет-провайдеры и типы подключения (pppoe, статический IP, dhcp client). Проблема проявляется повсюду, и мы не можем найти её источник.
Временное решение, которое мы обнаружили — если отключить Peer в меню IPsec и снова включить. Иногда достаточно один раз отключить и включить, иногда приходится повторять несколько раз, а иногда даже это не помогает, и только через пару часов, если снова отключить peer, соединение восстанавливается.
Мы заметили, что если Mikrotik — инициатор, то IPSEC работает более стабильно. Но так происходит не всегда. IPSEC тоже работает, если Mikrotik выступает в роли ответчика. Когда IPSEC не работает, Mikrotik ведёт себя странно: в разделе Active Peers появляется много установленных peer-ответчиков. Пример на фото , а в логах постоянно выдаётся ошибка failed to pre process ph2 packet.
Иногда обе SA (с Mikrotik и NGFW) исчезают из Installed SAs. После того как запустить ping в локальную сеть NGFW, они возвращаются. Не уверены, связано ли это.
Поддержка NGFW сказала нам: «Mikrotik не использует те же селекторы (local 0.0.0.0/0 remote 0.0.0.0/0), что NGFW. Поэтому VPN не поднимается, когда его инициирует NGFW. Так как селекторы RBVPN в NGFW жёстко прописаны, нужно менять селекторы в Mikrotik.»
В нашем случае IPSEC не работал, если мы задавали это в политиках. Пока от Forcepoint и Mikrotik поддержки ждать особо нечего, поэтому обращаемся к вашему сообществу — может, кто-то поможет нам решить эту проблему.
Временное решение, которое мы обнаружили — если отключить Peer в меню IPsec и снова включить. Иногда достаточно один раз отключить и включить, иногда приходится повторять несколько раз, а иногда даже это не помогает, и только через пару часов, если снова отключить peer, соединение восстанавливается.
Мы заметили, что если Mikrotik — инициатор, то IPSEC работает более стабильно. Но так происходит не всегда. IPSEC тоже работает, если Mikrotik выступает в роли ответчика. Когда IPSEC не работает, Mikrotik ведёт себя странно: в разделе Active Peers появляется много установленных peer-ответчиков. Пример на фото , а в логах постоянно выдаётся ошибка failed to pre process ph2 packet.
Иногда обе SA (с Mikrotik и NGFW) исчезают из Installed SAs. После того как запустить ping в локальную сеть NGFW, они возвращаются. Не уверены, связано ли это.
Поддержка NGFW сказала нам: «Mikrotik не использует те же селекторы (local 0.0.0.0/0 remote 0.0.0.0/0), что NGFW. Поэтому VPN не поднимается, когда его инициирует NGFW. Так как селекторы RBVPN в NGFW жёстко прописаны, нужно менять селекторы в Mikrotik.»
В нашем случае IPSEC не работал, если мы задавали это в политиках. Пока от Forcepoint и Mikrotik поддержки ждать особо нечего, поэтому обращаемся к вашему сообществу — может, кто-то поможет нам решить эту проблему.
