О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Не переподлючается IPSEC VPN

MES, ESR
krl
Сообщения: 9
Зарегистрирован: 21 июн 2016 21:37
Reputation: 0

Не переподлючается IPSEC VPN

Сообщение krl » 10 июн 2022 10:25

Доброго времени суток!

Задача построения схемы с подключением Eltex ESR-10 к двум внешним адресам удаленного маршрутизатора (FortiGate) с использованием Site-to-Site IPSEC VPN.

Столкнулись с двумя проблемами:
1. Не происходит автоматического переподключения IPSEC VPN со стороны Eltex после пропадания и восстановления связи с удаленной стороной.
2. Не работает (не понятен) механизм изменения маршрутов при пропадании связи через один из IPSEC VPN туннелей.

Внешние адреса удаленных маршрутизаторов: 1.1.1.1, 2.2.2.2
Внешний адрес маршрутизатора Eltex: 3.3.3.3
Адрес во внутренней сети маршрутизатора Eltex: 192.168.1.1

Информация о системе:
esr10-test# show system
System type: Eltex ESR-10 Service Router
System name: esr10-test
Software version: 1.14.5 build 5[596cabe53] (date 20/04/2022 time 11:37:26)
Hardware version: 2v1
System uptime: 22 hours, 5 minutes and 43 seconds


Настройка интерфейсов и дух IPSEC VPN:
bridge 1
description "Local"
vlan 1
security-zone trusted
ip address 192.168.1.1/24
enable
exit

interface gigabitethernet 1/0/1
description "AI_1_Global"
security-zone untrusted
ip address 3.3.3.3/24
lldp receive
exit

tunnel vti 1
security-zone trusted
local address 3.3.3.3
remote address 1.1.1.1
enable
exit

tunnel vti 2
security-zone trusted
local address 3.3.3.3
remote address 2.2.2.2
enable
exit

security ike proposal ike_test_ipsec
authentication algorithm sha1
encryption algorithm aes128
dh-group 2
exit

security ike policy ike_test_ipsec
pre-shared-key ascii-text encrypted l3o6ng74str3i2ng
proposal ike_test_ipsec
exit

security ike gateway ike_rt
version v2-only
ike-policy ike_test_ipsec
mode route-based
bind-interface vti 1
dead-peer-detection action restart
exit

security ike gateway ike_good
version v2-only
ike-policy ike_test_ipsec
mode route-based
bind-interface vti 2
dead-peer-detection action restart
exit

security ipsec proposal ipsec_test_ipsec
authentication algorithm sha1
encryption algorithm aes128
pfs dh-group 2
exit

security ipsec policy ipsec_test_ipsec
proposal ipsec_test_ipsec
exit

security ipsec vpn ipsec_rt
mode ike
ike establish-tunnel immediate
ike gateway ike_rt
ike ipsec-policy ipsec_test_ipsec
enable
exit

security ipsec vpn ipsec_good
mode ike
ike establish-tunnel immediate
ike gateway ike_good
ike ipsec-policy ipsec_test_ipsec
enable
exit

ip route 0.0.0.0/0 tunnel vti 1 5
ip route 0.0.0.0/0 tunnel vti 2 6
ip route 2.2.2.2/32 3.3.3.1
ip route 1.1.1.1/32 3.3.3.1


После применения конфигурации соединения IPSEC VPN переходят в состояние Established:
esr10-test# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec_good 3.3.3.3 2.2.2.2 0x3b437080cc1e44ac 0xcfb5619237d858da Established
ipsec_rt 3.3.3.3 1.1.1.1 0xf5dbcba730ed5644 0xd30241dec38d1f6e Established


После разрыва соединения ipsec_rt на удаленной стороне (отключение интерфейса на FortiGate 200E):
esr10-test# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec_good 3.3.3.3 2.2.2.2 0x3b437080cc1e44ac 0xcfb5619237d858da Established


Команда monitor gi1/0/1 трафик на 1.1.1.1 не фиксирует. Соединение ipsec_rt в таблице не появляется.

Туннели vti остаются в состоянии Up:
esr10-test# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change state state
---------------- ----- ----- ------ ---------------- ---------------- -------------------------
vti 1 Up Up 1500 3.3.3.3 1.1.1.1 22 hours, 30 minutes and 28 seconds
vti 2 Up Up 1500 3.3.3.3 2.2.2.2 22 hours, 30 minutes and 28 seconds


Маршрут по умолчанию указывает на vti 1 (привязанный к ipsec_rt):
esr10-test# show ip route 0.0.0.0
Codes: C - connected, S - static, R - RIP derived,
O - OSPF derived, IA - OSPF inter area route,
E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
B - BGP derived, D - DHCP derived, K - kernel route, V - VRRP route
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - FIB route

S * 0.0.0.0/0 [1/5] dev vti1 [static 2022-06-09]
S 0.0.0.0/0 [1/6] dev vti2 [static 2022-06-09]


Трафик в направлении маршрута по умолчанию не проходит.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Не переподлючается IPSEC VPN

Сообщение Garri » 12 июн 2022 02:38

Т е при кратковременном разрыве ipsec не восстанавливается , так?
А как поведет себя esr если погасить vti1 при условии, что ipsec_rt отсутствует?

krl
Сообщения: 9
Зарегистрирован: 21 июн 2016 21:37
Reputation: 0

Re: Не переподлючается IPSEC VPN

Сообщение krl » 14 июн 2022 13:16

В начале имеем:

Код: Выделить всё

esr10-test# show security ipsec vpn status
Name                              Local host        Remote host       Initiator spi        Responder spi        State         
-------------------------------   ---------------   ---------------   ------------------   ------------------   -----------   
ipsec_rt                          3.3.3.3      1.1.1.1      0x1f11d4e1bc62d941   0x8a4929d53610f201   Established   
esr10-test# show ip route static
S     * 0.0.0.0/0          [1/5]             dev vti1                          [static 13:33:01]
S       0.0.0.0/0          [1/6]             dev vti2                          [static 13:33:01]


Одной настройкой enable выключить vti 1 не получается :) :

Код: Выделить всё

esr10-test(config)# tunnel vti 1
esr10-test(config-vti)# no enable
esr10-test(config-vti)# do commit
check IPsec VPN 'ipsec_rt': please, set these parameters for vpn:
please, set these parameters for ike gateway 'ike_rt':
     'bind-interface'(enable this tunnel)
error - can't commit configuration.


Пришлось удалять конфигурацию IPSE VPN, относящуюся к vti 1:

Код: Выделить всё

esr10-test(config)# no security ipsec vpn ipsec_rt
esr10-test(config)# no security ike gateway ike_rt
esr10-test(config-vti)# do commit
esr10-test# show security ipsec vpn status
Name                              Local host        Remote host       Initiator spi        Responder spi        State         
-------------------------------   ---------------   ---------------   ------------------   ------------------   -----------   
ipsec_good                        3.3.3.3      2.2.2.2    0xaad6af964565dce4   0x12653fa7ccc59087   Established   
esr10-test# show ip route static
S     * 0.0.0.0/0          [1/6]             dev vti2                          [static 13:33:01]

krl
Сообщения: 9
Зарегистрирован: 21 июн 2016 21:37
Reputation: 0

Re: Не переподлючается IPSEC VPN

Сообщение krl » 15 июн 2022 15:38

Ответ от технической поддержки Элтекс:
При текущей конфигурации, если на удаленной стороне будет проблемы с IPSec, то трафик в любом случае будет передаваться через туннель vti, поскольку он всего находится в состоянии "up".

Для вашей схемы необходимо назначить ip-адреса на VTI-туннелях и настроить SLA для отслеживания доступности туннелей. Также необходимо настроить track для маршрутов по умолчанию. Поскольку VTIтуннели автоматически находятся в "up", то и маршруты по умолчанию будут доступны через данные туннели вне зависимости от состояния туннеля IPSec.

Пример настройки SLA и track для вашей схемы (IPSec настроен аналогично вашей конфигурации):

tunnel vti 1
security-zone trusted
local address 3.3.3.3
remote address 1.1.1.1
ip address 10.10.10.1/24
enable
exit

tunnel vti 2
security-zone trusted
local address 3.3.3.3
remote address 2.2.2.2
ip address 20.20.20.1/24
enable
exit

ip route 0.0.0.0/0 tunnel vti 1 track 1
ip route 0.0.0.0/0 tunnel vti 2 30 track 2
ip route 1.1.1.1/32 3.3.3.1
ip route 2.2.2.2/32 3.3.3.1

ip sla

ip sla test 1
icmp-echo 10.10.10.2 source-ip 10.10.10.1 num-packets 3 interval 200
enable
exit
ip sla test 2
icmp-echo 20.20.20.2 source-ip 20.20.20.1 num-packets 3 interval 200
enable
exit

ip sla schedule 1 life forever start-time now
ip sla schedule 2 life forever start-time now

track 1
track sla test 1 mode reachability
delay up 1
enable
exit
track 2
track sla test 2 mode reachability
delay up 1
enable
exit

При такой конфигурации будет происходить отслеживание удаленных ip-адресов vti-туннелей 10.10.10.2 и 20.20.20.2. Если данные адреса не будут доступны, то в таблице маршрутизации не будет маршрута по умолчанию 0.0.0.0/0.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 24 гостя