О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Маршрутизаторы Элтекс

MES, ESR
Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 09 апр 2020 14:11

Pyro_GI, покажите настройки object-group network для vpn-сети.

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 09 апр 2020 15:24

Garri писал(а):А что покажет - show security ipsec vpn status IPSEC_VPN1 ?


Выдает это.
Присутствует инвалид неясного происхождения.
Попутно тут врет Encryption algorithm: des -- в настройках прописан только AES256.

Код: Выделить всё

GW1# sh security ike proposal IKE_prop1
Description:                --
Encryption algorithm:       aes256
Diffie-Hellman group:       2
Authentication algorithm:   sha1


Код: Выделить всё

GW1# sh security ipsec vpn status IPSEC_VPN1
Currently active IKE SA:
    Name:                      IPSEC_VPN1
    State:                     Established
    Version:                   v1-only
    Unique ID:                 215
    Local host:                X.X.X.227
    Remote host:               Y.Y.Y.244
    Role:                      Responder
    Initiator spi:             0xf17a37b02b6af8bd
    Responder spi:             0x35426279d7f61beb
    Encryption algorithm:      des
    Authentication algorithm:  sha1
    Diffie-Hellman group:      2
    Established:               16 minutes and 55 seconds ago
    Rekey time:                16 minutes and 55 seconds
    Reauthentication time:     2 hours, 26 minutes and 12 seconds
    Child IPsec SAs:
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                14 minutes and 40 seconds
        Life time:                 28 minutes and 54 seconds
        Established:               31 minutes and 6 seconds ago
        Traffic statistics:
            Input bytes:           11200
            Output bytes:          46021573
            Input packets:         132
            Output packets:        100143
        -------------------------------------------------------------
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                7 minutes and 39 seconds
        Life time:                 21 minutes and 33 seconds
        Established:               38 minutes and 27 seconds ago
        Traffic statistics:
            Input bytes:           613007
            Output bytes:          59453490
            Input packets:         1186
            Output packets:        54556
        -------------------------------------------------------------
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                4 minutes and 17 seconds
        Life time:                 19 minutes and 9 seconds
        Established:               40 minutes and 51 seconds ago
        Traffic statistics:
            Input bytes:           67572
            Output bytes:          4170902
            Input packets:         815
            Output packets:        7064
        -------------------------------------------------------------
        Name:                      IPSEC_VPN1
        State:                     Invalid
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                49710 days, 6 hours, 24 minutes and 9 seconds
        Life time:                 13 minutes and 32 seconds
        Established:               46 minutes and 28 seconds ago
        Traffic statistics:
            Input bytes:           15910055
            Output bytes:          18007040
            Input packets:         87500
            Output packets:        27241
        -------------------------------------------------------------
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                28 minutes and 44 seconds
        Life time:                 45 minutes and 58 seconds
        Established:               14 minutes and 2 seconds ago
        Traffic statistics:
            Input bytes:           8895623
            Output bytes:          43007297
            Input packets:         18501
            Output packets:        58725
        -------------------------------------------------------------

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 09 апр 2020 16:36

Garri писал(а):Pyro_GI, покажите настройки object-group network для vpn-сети.


Site-to-Site VPN построен в режиме маршрутизации через тоннель VTI. Так что кроме единственной подсети, расположенной на противоположном конце тоннеля, пропускать внутрь нечего.
С внутренней стороны тоннеля подсетей несколько. К ним тоже прописаны маршруты и трафик ходит без нареканий.

Удаленная подсеть.

Код: Выделить всё

object-group network USR_subnet
  ip prefix 2.2.2.0/24
exit


Маршрут до удаленной подсети.

Код: Выделить всё

ip route 2.2.2.0/24 tunnel vti 1


В выводе sh security ipsec vpn authentication IPSEC_VPN1 строка

Код: Выделить всё

X.X.X.227 Y.Y.Y.244 1.1.1.0/24 2.2.2.0/24 Pre-shared key Established
принимает условно случайные верные значения. Предположительно, первое установившееся соединение отображается правильно.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 09 апр 2020 21:16

Если настроен Site-to-Site , то с другой стороны тоже ESR стоит ?

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 10 апр 2020 22:48

Garri писал(а):Если настроен Site-to-Site , то с другой стороны тоже ESR стоит ?

С противоположной стороны стоит PFsense 2.4.5-RELEASE и отображает все установившиеся соединения без ошибок. Алгоритмы шифрования и проверки подлинности отображаются верно, предача данных идет в обе стороны.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 11 апр 2020 15:11

Задайте вопрос ТП через сайт, что они скажут, самому интересно.

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 13 апр 2020 21:35

Запустил закачку большого файла между Windows-машинами по разные стороны тоннеля во всю ширь канала 100Мбит/с. В syslog посыпались сообщения о переполнении фрагментами.
Напрашивается изменение параметров очереди фрагментов. Среди параметров соединений в ip firewall sessions ничего про это не нашел. Где это исправить? Куда копать?

Код: Выделить всё

2020-04-13 17:13:46 user.notice X.X.X.1 <2> 2020-04-13T17:13:46+03:00 %SYSTEM-C-KERNEL: [20440.860000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:13:46 user.notice X.X.X.1 <2> 2020-04-13T17:13:46+03:00 %SYSTEM-C-KERNEL: [20440.868000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:13:46 user.notice X.X.X.1 <2> 2020-04-13T17:13:46+03:00 %SYSTEM-C-KERNEL: [20441.016000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:13:47 user.notice X.X.X.1 <2> 2020-04-13T17:13:47+03:00 %SYSTEM-C-KERNEL: [20441.420000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:14:06 user.notice X.X.X.1 <2> 2020-04-13T17:14:06+03:00 %SYSTEM-C-KERNEL: [20460.184000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:14:06 user.notice X.X.X.1 <2> 2020-04-13T17:14:06+03:00 %SYSTEM-C-KERNEL: [20460.192000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 13 апр 2020 21:35

Garri писал(а):Задайте вопрос ТП через сайт, что они скажут, самому интересно.

Отправил запрос в ТП, жду ответа.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 15 апр 2020 21:46

Что ответили?

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 15 апр 2020 23:21

Пока только это.
Encryption algorithm: des - этот баг уже известен, на работу не влияет, будет исправлен в следующих версиях ПО.

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 21 апр 2020 19:44

Garri писал(а):Что ответили?


Для освежения памяти.
Через тоннель Site-to-Site VPN IKEv1 пробрасывается 6 (шесть) подсетей. Строки ip prefix is invalid количественно соответствуют установившимся соединениям фазы 2, включая одно калечное из-за несвоевременной переключевки. И только про одно исправное соединение фазы 2 выводятся сведения понятным образом.

Код: Выделить всё

GW1# sh security ipsec vpn authentication IPSEC_VPN1
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
Local host Remote host Local subnet Remote subnet Authentication State
--------------- --------------- ------------------- ------------------- ----------------------------------------- -----------
X.X.X.227 Y.Y.Y.244 10.62.1.0/24 10.19.19.0/24 Pre-shared key Established


После ряда моих доводов в пользу более развернутого и законченного вывода команды sh security ipsec vpn authentication представитель ТП выдал это.
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов. Несмотря на большое количество сетей, показывать будет только одно подключение.

Повторюсь, подключений второй фазы, -- шесть штук. Почему отображено только одно подключение? Почему именно это подключение? Ответа нет.

Возникла ли у представителя ТП мысль, что это недоработка ПО ESR, и ее хорошо бы устранить, доведя до сведения разработчиков? Если это уже не исправлено в новой версии, конечно. Кстати, где она? А если исправлено, то зачем это скрывать? Копнуть глубже, поспрашивать коллег и повысить таким образом свою осведомленность, и дать удовлетворительный ответ клиенту, видимо, излишне?

Мой вопрос про зависание рабочей сессии SSH непосредственно к ESR через этот же тоннель Site-to-Site тоже остался без ответа и даже попытки решить.

Итогом обращения в ТП -- впустую потраченное время. А ведь эта услуга отдельных денег стоит и конечна.

Если эту ветвь читают ответственнные сотрудники ELTEX, номер моего обращения 17274 от 13.04.2020.

alexander346
Сообщения: 31
Зарегистрирован: 05 сен 2019 16:21
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение alexander346 » 23 апр 2020 14:07

Добрый день! На одну фазу IKE должна быть только одна 2-я фаза. А SSH разрывается вероятнее из-за того, что PFsense постоянно переподнимает вторую фазу. Никаких проблем в ПО ESR здесь нет.

Pyro_GI
Сообщения: 13
Зарегистрирован: 02 апр 2020 14:23
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Pyro_GI » 27 апр 2020 16:48

alexander346 писал(а):Добрый день! На одну фазу IKE должна быть только одна 2-я фаза.

Это я не оспариваю.
Внутри второй фазы пробрасываются подсети в количестве больше одной. И по соединениям в рамках второй фазы части сведений нет.
Как по ниже приведенным сведениям понять: 1) какие именно подсети вообще пробрасываются, 2) какие подсети через тоннель пробрасываются исправно, 3) какие в инвалидном состоянии? По счетчикам времени и пакетов? Или должны быть иные, более явные отличитиельные признаки?

Код: Выделить всё

Child IPsec SAs:
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                14 minutes and 40 seconds
        Life time:                 28 minutes and 54 seconds
        Established:               31 minutes and 6 seconds ago
        Traffic statistics:
            Input bytes:           11200
            Output bytes:          46021573
            Input packets:         132
            Output packets:        100143
        -------------------------------------------------------------
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                7 minutes and 39 seconds
        Life time:                 21 minutes and 33 seconds
        Established:               38 minutes and 27 seconds ago
        Traffic statistics:
            Input bytes:           613007
            Output bytes:          59453490
            Input packets:         1186
            Output packets:        54556
        -------------------------------------------------------------
        Name:                      IPSEC_VPN1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      aes256
        Authentication algorithm:  sha1
        Rekey time:                4 minutes and 17 seconds
        Life time:                 19 minutes and 9 seconds
        Established:               40 minutes and 51 seconds ago
        Traffic statistics:
            Input bytes:           67572
            Output bytes:          4170902
            Input packets:         815
            Output packets:        7064

Более явные отличительные признаки видны в выводе команды sh security ipsec vpn authentication, но вывод неполный.
Рабочих подсетей внутри второй фазы, -- шесть штук. Корректно отображена только одна. Остальные проходят строками ip prefix is invalid, включая 7-ю действительно инвалидную из-за несвоевременной переключевки. Почему отображены сведения о связи только с одной подсетью? Почему выбрана именно эта подсеть?

Код: Выделить всё

GW1# sh security ipsec vpn authentication IPSEC_VPN1
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
Local host Remote host Local subnet Remote subnet Authentication State
--------------- --------------- ------------------- ------------------- ----------------------------------------- -----------
X.X.X.227 Y.Y.Y.244 10.62.1.0/24 10.19.19.0/24 Pre-shared key Established




Теперь по SSH.
alexander346 писал(а):А SSH разрывается вероятнее из-за того, что PFsense постоянно переподнимает вторую фазу. Никаких проблем в ПО ESR здесь нет.

К чему догадки? На обеих сторонах VPN тоннеля есть счетчики времени и пакетов. На сколько я вижу по счетчикам, переподнятия второй фазы нет, -- как установились соединения обеих фаз несколько часов назад, так и работают. А зависание сессии SSH в рамках рабочего соединения фазы 2, -- есть.
Повторюсь, зависает исключительно подключение по SSH непосредственно к ESR. Параллельно запущенный непрерывный пинг пакетами по 1472 байта до ESR и другого, проверочного узла в той же подсети, что и адрес ESR, идет без потерь и без значимых изменений задержек, что могло бы указать на разрыв фазы 2. К любым другим узлам на противоположной стороне тоннеля подключение по SSH работает без нареканий. Мгновенно переподключиться к ESR по SSH тоже возможно, с последующим зависанием соединения.

Более того, я в опытах пошел чуть дальше и задействовал IKEv2 вместо IKEv1. Итог тот же, -- сессия SSH к ESR через тоннель виснет без видимого ущерба для работы ряда других соединений, включая SSH, RDP и файлообмен между узлами по разные стороны тоннеля.


Если имеющихся сведений недостаточно, скажите, что нужно еще?

hart323
Сообщения: 9
Зарегистрирован: 02 июл 2016 18:19
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение hart323 » 06 сен 2020 02:11

Добрый вечер.
Имеем ESR1200 (1.8.8). Увидел что service-acl на подинтерфейс (te1/0/8.304) наложить нельзя. Этот функционал будет реализован или развитие больше идет в сторону zone-based firewall и ограничения лучше сразу сделать при помощи этого механизма?
И два, ни service-acl, ни ZBFW пока не поддерживают IPv6?

hart323
Сообщения: 9
Зарегистрирован: 02 июл 2016 18:19
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение hart323 » 06 сен 2020 18:36

Также обратил внимание что нет фильтрации BGP префиксов по REGEXP. Таким образом нет возможности,например, по простому с пира получить префиксы всех соседей. Что-нибудь известно о планах/сроках реализации данной фичи? Спасибо.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и 14 гостей