+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

нет трафика через IPIP-туннель при шифровании

нет трафика через IPIP-туннель при шифровании, RouterOS

meridianns

Guest

01.07.2016 22:42:00

Конфигурация – 2 CCR1009-8G-1S, соединённых через IPIP-туннель с IPSec (MD5, AES256-cbc). Туннель работал без проблем в течение 3 месяцев – скорость нормальная, очень стабильный.

Проблема – туннель внезапно перестал передавать данные (конфигурация не менялась, никаких настроек не трогали). Соединение показывает, что активно. IP-адреса с обеих сторон туннеля видны в Torch, но данные уходят с каждого роутера по интерфейсу IP-туннеля, а принимаются не доходят.

Пример: Site 2 Torch – интерфейс IP-туннеля (адреса отправителя из LAN Site 1, адреса получателя из LAN Site 2)
Src Dest TX Pkt RX Pkt
10.10.0.28 10.0.0.5 1 0
10.10.1.53 10.0.0.5 1 0
10.10.1.49 10.0.0.30 1 0

Site 1 Torch – интерфейс IP-туннеля (адреса отправителя из LAN Site 2, адреса получателя из LAN Site 1)
Src Dest TX Pkt RX Pkt
10.0.0.5 172.16.0.2 1 0
10.0.0.15 10.10.0.80 1 0

Шаги по устранению:
- Проверил базовую связь между сайтами – ping, telnet, SSH
- Проверил настройки фаервола
- Проверил настройки IPSec, изменял их (SA устанавливаются и увеличивают Current Bytes в обе стороны)
- Обновил ПО до последней версии с исправлениями на обеих сторонах туннеля
- Туннель передаёт данные, если шифрование отключено

Связался с провайдером, но пока инфы мало. Они считают, что проблема может быть в маршрутизации. Traceroute показывает один и тот же адрес дважды с Site 2 на Site 1, но не наоборот.

Мне кажется, если базовая связь работает, то и туннели должны работать. Что я упускаю?

timofey Guest	#2 0 11.12.2021 07:09:00 Привет! Как ты это решил? У меня сейчас такая же проблема.

Sob

Guest

11.12.2021 09:23:00

Интересный ход мыслей… пытаюсь найти несколько лет назад созданную тему с чем-то похожим, но не нахожу никакой информации о вашей конфигурации. Спроси у автора темы, который не заходил на форум пять лет, есть ли у него для тебя решение. Интересно, а ты правда чего-то ждёшь?

timofey

Guest

11.12.2021 10:02:00

Хорошо, вот конфигурация на маршрутизаторе дата-центра:
/interface ipip name="ipip-office" mtu=auto actual-mtu=1426 local-address=dc_ip remote-address=office_ip dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="password" allow-fast-path=no
address=10.250.68.101/30 network=10.250.68.100 interface=ipip-office actual-interface=ipip-office

На офисном маршрутизаторе:
name="ipip-dc" mtu=auto actual-mtu=1426 local-address=office_ip remote-address=dc_ip dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="password" allow-fast-path=no
address=10.250.68.102/30 network=10.250.68.100 interface=ipip-dc actual-interface=ipip-dc

IPSec (одинаково на обоих маршрутизаторах):
/ip ipsec profile print detail
name="default" hash-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp2048 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=10s dpd-maximum-failures=2

/ip ipsec proposal print detail
name="default" auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=modp2048

И всё остальное, как у автора темы:
работало отлично больше года, начинает работать только если отключить IPSec (просто обычный ip-ip туннель), а IPSec устанавливается без ошибок (established).

Sob

Guest

11.12.2021 10:39:00

Если ты ничего не менял, вряд ли после такого долгого времени вдруг вылезла какая-то ошибка в RouterOS. Скорее всего, проблема вне твоего контроля — что-то на пути между роутерами. С этим особо не покрутишь, но можно попытаться выяснить, что именно происходит (возможно, теряются или фильтруются пакеты), хотя это тоже не так просто. Проще всего проверить одно: IPSec — это не одно соединение, даже если оно показывает статус «установлено», это только первая часть. Вторая — это сами тоннелированные данные, это другой тип пакетов (протокол 50, если, конечно, на пути нет NAT). Можно посмотреть, что приходит, командой «/ip ipsec installed-sa print». Ты писал, что у тебя всё так же, как у автора вопроса, а он говорил, что счётчики растут, но на всякий случай стоит убедиться, что всё действительно одинаково…

timofey Guest	#6 0 12.12.2021 07:42:00 Пересоздание туннелей и перезагрузка обоих роутеров не помогли. Но сегодня утром туннель снова заработал. Похоже, что были какие-то проблемы со стороны провайдера.

sindy Guest	#7 0 12.12.2021 10:19:00 Поскольку проблема была связана с зашифрованным IPIP, вы показали слишком мало информации из самой конфигурации. Ручные настройки значения mtu в строках /interface ipip говорят о том, что вы действительно думали о том, чтобы пакеты IPsec не фрагментировались. Я упоминаю это, потому что неправильная обработка фрагментов по пути между вашими узлами — одна из причин, которая может сломать ваш IPIP/IPsec туннель. Однако вы не уточнили, являются ли WAN-адреса обоих роутеров публичными; раз IPIP работает без IPsec-инкапсуляции, похоже, что так и есть. Если это так, то IPsec transport — это голый ESP, который иногда тоже блокируют провайдеры. Было бы удивительно, если бы доставка ESP прерывалась, а доставка IPencap — нет. /tool sniffer на обоих концах — ваш лучший помощник в таких ситуациях, и эта — не исключение. Если вы видите, что ESP-пакет уходит с одного узла и никогда не доходит до другого, значит, виноват провайдер. Если ESP-пакеты доходят до места назначения с обеих сторон, значит, проблема в ваших роутерах.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры