Задача построения схемы с подключением Eltex ESR-10 к двум внешним адресам удаленного маршрутизатора (FortiGate) с использованием Site-to-Site IPSEC VPN.
Столкнулись с двумя проблемами:
1. Не происходит автоматического переподключения IPSEC VPN со стороны Eltex после пропадания и восстановления связи с удаленной стороной.
2. Не работает (не понятен) механизм изменения маршрутов при пропадании связи через один из IPSEC VPN туннелей.
Внешние адреса удаленных маршрутизаторов: 1.1.1.1, 2.2.2.2
Внешний адрес маршрутизатора Eltex: 3.3.3.3
Адрес во внутренней сети маршрутизатора Eltex: 192.168.1.1
Информация о системе:
esr10-test# show system
System type: Eltex ESR-10 Service Router
System name: esr10-test
Software version: 1.14.5 build 5[596cabe53] (date 20/04/2022 time 11:37:26)
Hardware version: 2v1
System uptime: 22 hours, 5 minutes and 43 seconds
Настройка интерфейсов и дух IPSEC VPN:
bridge 1
description "Local"
vlan 1
security-zone trusted
ip address 192.168.1.1/24
enable
exit
interface gigabitethernet 1/0/1
description "AI_1_Global"
security-zone untrusted
ip address 3.3.3.3/24
lldp receive
exit
tunnel vti 1
security-zone trusted
local address 3.3.3.3
remote address 1.1.1.1
enable
exit
tunnel vti 2
security-zone trusted
local address 3.3.3.3
remote address 2.2.2.2
enable
exit
security ike proposal ike_test_ipsec
authentication algorithm sha1
encryption algorithm aes128
dh-group 2
exit
security ike policy ike_test_ipsec
pre-shared-key ascii-text encrypted l3o6ng74str3i2ng
proposal ike_test_ipsec
exit
security ike gateway ike_rt
version v2-only
ike-policy ike_test_ipsec
mode route-based
bind-interface vti 1
dead-peer-detection action restart
exit
security ike gateway ike_good
version v2-only
ike-policy ike_test_ipsec
mode route-based
bind-interface vti 2
dead-peer-detection action restart
exit
security ipsec proposal ipsec_test_ipsec
authentication algorithm sha1
encryption algorithm aes128
pfs dh-group 2
exit
security ipsec policy ipsec_test_ipsec
proposal ipsec_test_ipsec
exit
security ipsec vpn ipsec_rt
mode ike
ike establish-tunnel immediate
ike gateway ike_rt
ike ipsec-policy ipsec_test_ipsec
enable
exit
security ipsec vpn ipsec_good
mode ike
ike establish-tunnel immediate
ike gateway ike_good
ike ipsec-policy ipsec_test_ipsec
enable
exit
ip route 0.0.0.0/0 tunnel vti 1 5
ip route 0.0.0.0/0 tunnel vti 2 6
ip route 2.2.2.2/32 3.3.3.1
ip route 1.1.1.1/32 3.3.3.1
После применения конфигурации соединения IPSEC VPN переходят в состояние Established:
esr10-test# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec_good 3.3.3.3 2.2.2.2 0x3b437080cc1e44ac 0xcfb5619237d858da Established
ipsec_rt 3.3.3.3 1.1.1.1 0xf5dbcba730ed5644 0xd30241dec38d1f6e Established
После разрыва соединения ipsec_rt на удаленной стороне (отключение интерфейса на FortiGate 200E):
esr10-test# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec_good 3.3.3.3 2.2.2.2 0x3b437080cc1e44ac 0xcfb5619237d858da Established
Команда monitor gi1/0/1 трафик на 1.1.1.1 не фиксирует. Соединение ipsec_rt в таблице не появляется.
Туннели vti остаются в состоянии Up:
esr10-test# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change state state
---------------- ----- ----- ------ ---------------- ---------------- -------------------------
vti 1 Up Up 1500 3.3.3.3 1.1.1.1 22 hours, 30 minutes and 28 seconds
vti 2 Up Up 1500 3.3.3.3 2.2.2.2 22 hours, 30 minutes and 28 seconds
Маршрут по умолчанию указывает на vti 1 (привязанный к ipsec_rt):
esr10-test# show ip route 0.0.0.0
Codes: C - connected, S - static, R - RIP derived,
O - OSPF derived, IA - OSPF inter area route,
E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
B - BGP derived, D - DHCP derived, K - kernel route, V - VRRP route
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - FIB route
S * 0.0.0.0/0 [1/5] dev vti1 [static 2022-06-09]
S 0.0.0.0/0 [1/6] dev vti2 [static 2022-06-09]
Трафик в направлении маршрута по умолчанию не проходит.