ESR-200 проблемы с организацией Route-based IPSec VPN

[simonov]

Два маршрутизатора ESR-200:

Код: Выделить всё

e200-1# show ver
SW version:
  1.0.6 build 47[4597de3] (date 14/10/2015 time 13:36:32)
HW version:
  1v4
e200-2# show ver
SW version:
  1.0.6 build 47[4597de3] (date 14/10/2015 time 13:36:32)
HW version:
  1v4


Пытаемся настроить IPSec тоннель между двумя точками, делаем всё по документации, ни шага в сторону.

Конфигурация e200-1:

Код: Выделить всё

interface gigabitethernet 1/0/1
  security-zone untrusted
  ip address 172.16.x.9/30
exit
tunnel vti 1
  security-zone trusted
  local address 172.16.x.9
  remote address 172.16.x.10
  enable
exit

security ike proposal IKE_proposal
  authentication algorithm md5
  encryption algorithm aes128
  dh-group 2
exit

security ike policy IKE_policy
  pre-shared-key ascii-text <password>
  proposal IKE_proposal
exit

security ike gateway IKE_gateway
  version v2-only
  ike-policy IKE_policy
  mode route-based
  bind-interface vti 1
exit

security ipsec proposal IPSEC_proposal
  authentication algorithm md5
  encryption algorithm blowfish128
exit

security ipsec policy IPSEC_policy
  proposal IPSEC_proposal
exit

security ipsec vpn IPSEC_1
  mode ike
  ike establish-tunnel immediate
  ike gateway IKE_gateway
  ike ipsec-policy IPSEC_policy
  enable
exit

ip route 172.16.y.0/21 tunnel vti 1
ip route 0.0.0.0/0 172.17.a.6


Конфигурация e200-2:

Код: Выделить всё

interface gigabitethernet 1/0/1
  security-zone untrusted
  ip address 172.16.x.10/30
exit

tunnel vti 1
  security-zone trusted
  local address 172.16.x.10
  remote address 172.16.x.9
  enable
exit

security ike proposal IKE_proposal
  authentication algorithm md5
  encryption algorithm aes128
  dh-group 2
exit

security ike policy IKE_policy
  pre-shared-key ascii-text <password>
  proposal IKE_proposal
exit

security ike gateway IKE_gateway
  version v2-only
  ike-policy IKE_policy
  mode route-based
  bind-interface vti 1
exit

security ipsec proposal IPSEC_proposal
  authentication algorithm md5
  encryption algorithm blowfish128
exit

security ipsec policy IPSEC_policy
  proposal IPSEC_proposal
exit

security ipsec vpn IPSEC_1
  mode ike
  ike establish-tunnel immediate
  ike gateway IKE_gateway
  ike ipsec-policy IPSEC_policy
  enable
exit

ip route 172.16.0.0/14 tunnel vti 1


После применения конфигурации тоннель не поднимается, застревает в таком состоянии:

Код: Выделить всё

e200-1# show security ipsec vpn status IPSEC_1
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.7.10, mips64):
  uptime: 77 seconds, since Jul 03 23:00:53 2011
  malloc: sbrk 196608, mmap 0, used 154960, free 41648
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon aes des blowfish rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown xauth-generic dhcp
Listening IP addresses:
  172.17.a.9
Connections:
     IPSEC_1:  172.16.x.9...172.16.x.10  IKEv2
     IPSEC_1:   local:  [172.16.x.9] uses pre-shared key authentication
     IPSEC_1:   remote: [172.16.x.10] uses pre-shared key authentication
     IPSEC_1:   child:  dynamic === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
     IPSEC_1[2]: ESTABLISHED 73 seconds ago, 172.16.x.9[172.16.x.9]...172.16.x.10[172.16.x.10]
     IPSEC_1[2]: IKEv2 SPIs: e0b69570e840f21a_i c45d228c3663eed8_r*, pre-shared key reauthentication in 46 minutes
     IPSEC_1[2]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024


Код: Выделить всё

e200-2# show security ipsec vpn status IPSEC_1
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.7.10, mips64):
  uptime: 2 minutes, since Jul 04 23:41:46 2011
  malloc: sbrk 196608, mmap 0, used 180424, free 16184
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 6
  loaded plugins: charon aes des blowfish rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown xauth-generic dhcp
Listening IP addresses:
<все локальные>
Connections:
     IPSEC_1:  172.16.x.10...172.16.x.9  IKEv2
     IPSEC_1:   local:  [172.16.x.10] uses pre-shared key authentication
     IPSEC_1:   remote: [172.16.x.9] uses pre-shared key authentication
     IPSEC_1:   child:  dynamic === dynamic TUNNEL
Security Associations (2 up, 0 connecting):
     IPSEC_1[2]: ESTABLISHED 2 minutes ago, 172.16.x.10[172.16.x.10]...172.16.x.9[172.16.x.9]
     IPSEC_1[2]: IKEv2 SPIs: dc00df567e9b4e3c_i 0a0ff98fe0409c63_r*, pre-shared key reauthentication in 43 minutes
     IPSEC_1[2]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
     IPSEC_1[2]: Tasks queued: IKE_MOBIKE
     IPSEC_1[2]: Tasks active: IKE_MOBIKE
     IPSEC_1{2}:  INSTALLED, TUNNEL, ESP SPIs: c084cf98_i c2e4ff52_o
     IPSEC_1{2}:  BLOWFISH_CBC_128/HMAC_MD5_96, 0 bytes_i, 0 bytes_o, rekeying in 7 hours
     IPSEC_1{2}:   172.16.x.10/32 === 172.16.x.9/32
     IPSEC_1[1]: ESTABLISHED 2 minutes ago, 172.16.x.10[172.16.x.10]...172.16.x.9[172.16.x.9]
     IPSEC_1[1]: IKEv2 SPIs: e0b69570e840f21a_i* c45d228c3663eed8_r, pre-shared key reauthentication in 37 minutes
     IPSEC_1[1]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024


Через некоторое время получается такое состояние (причём пинг на всякий случай между хостами за тоннелем всё время включен):

Код: Выделить всё

e200-1# show security ipsec vpn status IPSEC_1
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.7.10, mips64):
  uptime: 5 minutes, since Jul 03 23:00:53 2011
  malloc: sbrk 196608, mmap 0, used 154960, free 41648
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon aes des blowfish rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown xauth-generic dhcp
Listening IP addresses:
  10.29.129.9
Connections:
     IPSEC_1:  172.16.x.9...172.16.x.10  IKEv2
     IPSEC_1:   local:  [172.16.x.9] uses pre-shared key authentication
     IPSEC_1:   remote: [172.16.x.10] uses pre-shared key authentication
     IPSEC_1:   child:  dynamic === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
     IPSEC_1[2]: ESTABLISHED 5 minutes ago, 172.16.x.9[172.16.x.9]...172.16.x.10[172.16.x.10]
     IPSEC_1[2]: IKEv2 SPIs: e0b69570e840f21a_i c45d228c3663eed8_r*, pre-shared key reauthentication in 43 minutes
     IPSEC_1[2]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024


Код: Выделить всё

e200-2# show security ipsec vpn status IPSEC_1
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.7.10, mips64):
  uptime: 4 minutes, since Jul 04 23:41:47 2011
  malloc: sbrk 196608, mmap 0, used 168568, free 28040
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon aes des blowfish rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown xauth-generic dhcp
Listening IP addresses:
<все локальные>
Connections:
     IPSEC_1:  172.16.x.10...172.16.x.9  IKEv2
     IPSEC_1:   local:  [172.16.x.10] uses pre-shared key authentication
     IPSEC_1:   remote: [172.16.x.9] uses pre-shared key authentication
     IPSEC_1:   child:  dynamic === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
     IPSEC_1[1]: ESTABLISHED 4 minutes ago, 172.16.x.10[172.16.x.10]...172.16.x.9[172.16.x.9]
     IPSEC_1[1]: IKEv2 SPIs: e0b69570e840f21a_i* c45d228c3663eed8_r, pre-shared key reauthentication in 34 minutes
     IPSEC_1[1]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024


Дергаем вручную тоннели:

Код: Выделить всё

e200-1# config
e200-1(config)# security ipsec vpn IPSEC_1
e200-1(config-ipsec-vpn)# no enable
e200-1(config-ipsec-vpn)# end
e200-1# commit
2011-07-03T23:07:10+00:00 %CLI-I-CRIT: user admin from console  input: commit
2011-07-03T23:07:12+00:00 charon stopped after 200 ms
2011-07-03T23:07:12+00:00 ipsec starter stopped
Configuration has been successfully committed
e200-1# confirm
2011-07-03T23:07:15+00:00 %CLI-I-CRIT: user admin from console  input: confirm
Configuration has been successfully confirmed
e200-1# config
e200-1(config)# security ipsec vpn IPSEC_1
e200-1(config-ipsec-vpn)# enable
e200-1(config-ipsec-vpn)# end
e200-1# commit
2011-07-03T23:07:15+00:00 %CLI-I-CRIT: user admin from console  input: commit
2011-07-03T23:07:17+00:00 Starting strongSwan 5.1.1 IPsec [starter]...
2011-07-03T23:07:18+00:00 charon (2592) started after 860 ms
Configuration has been successfully committed
e200-1# confirm
2011-07-03T23:07:19+00:00 %CLI-I-CRIT: user admin from console  input: confirm
Configuration has been successfully confirmed
e200-1#


Код: Выделить всё

e200-2# config
e200-2(config)# security ipsec vpn IPSEC_1
e200-2(config-ipsec-vpn)# no enable
e200-2(config-ipsec-vpn)# end
e200-2# commit
2011-07-04T23:47:33+00:00 %CLI-I-CRIT: user admin from console  input: commit
2011-07-04T23:47:35+00:00 charon stopped after 200 ms
2011-07-04T23:47:35+00:00 ipsec starter stopped
Configuration has been successfully committed
e200-2# confirm
2011-07-04T23:47:38+00:00 %CLI-I-CRIT: user admin from console  input: confirm
Configuration has been successfully confirmed
e200-2# config
e200-2(config)# security ipsec vpn IPSEC_1
e200-2(config-ipsec-vpn)# enable
e200-2(config-ipsec-vpn)# end
e200-2# commit
2011-07-04T23:47:38+00:00 %CLI-I-CRIT: user admin from console  input: commit
2011-07-04T23:47:40+00:00 Starting strongSwan 5.1.1 IPsec [starter]...
2011-07-04T23:47:41+00:00 charon (3053) started after 900 ms
Configuration has been successfully committed
e200-2# confirm
2011-07-04T23:47:42+00:00 %CLI-I-CRIT: user admin from console  input: confirm
Configuration has been successfully confirmed
e200-2#


Тоннели начинают работать, причём только если дёрнуть их на обеих сторонах:

Код: Выделить всё

e200-1# show security ipsec vpn status IPSEC_1
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.7.10, mips64):
  uptime: 40 seconds, since Jul 03 23:07:17 2011
  malloc: sbrk 196608, mmap 0, used 149688, free 46920
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon aes des blowfish rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown xauth-generic dhcp
Listening IP addresses:
Connections:
     IPSEC_1:  172.16.x.9...172.16.x.10  IKEv2
     IPSEC_1:   local:  [172.16.x.9] uses pre-shared key authentication
     IPSEC_1:   remote: [172.16.x.10] uses pre-shared key authentication
     IPSEC_1:   child:  dynamic === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
     IPSEC_1[1]: ESTABLISHED 39 seconds ago, 172.16.x.9[172.16.x.9]...172.16.x.10[172.16.x.10]
     IPSEC_1[1]: IKEv2 SPIs: 594b4cb3e519b3a8_i* 34badb73790fb16c_r, pre-shared key reauthentication in 37 minutes
     IPSEC_1[1]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
     IPSEC_1{1}:  INSTALLED, TUNNEL, ESP SPIs: c891c62f_i c7f112a7_o
     IPSEC_1{1}:  BLOWFISH_CBC_128/HMAC_MD5_96, 0 bytes_i, 2280 bytes_o (38 pkts, 1s ago), rekeying in 7 hours
     IPSEC_1{1}:   172.16.x.9/32 === 172.16.x.10/32
e200-1#


Код: Выделить всё

e200-2# show security ipsec vpn status IPSEC_1
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.7.10, mips64):
  uptime: 97 seconds, since Jul 04 23:47:41 2011
  malloc: sbrk 196608, mmap 0, used 160840, free 35768
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon aes des blowfish rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown xauth-generic dhcp
Listening IP addresses:
Connections:
     IPSEC_1:  172.16.x.10...172.16.x.9  IKEv2
     IPSEC_1:   local:  [172.16.x.10] uses pre-shared key authentication
     IPSEC_1:   remote: [172.16.x.9] uses pre-shared key authentication
     IPSEC_1:   child:  dynamic === dynamic TUNNEL
Security Associations (2 up, 0 connecting):
     IPSEC_1[2]: ESTABLISHED 60 seconds ago, 172.16.x.10[172.16.x.10]...172.16.x.9[172.16.x.9]
     IPSEC_1[2]: IKEv2 SPIs: 594b4cb3e519b3a8_i 34badb73790fb16c_r*, pre-shared key reauthentication in 46 minutes
     IPSEC_1[2]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
     IPSEC_1{2}:  INSTALLED, TUNNEL, ESP SPIs: c7f112a7_i c891c62f_o
     IPSEC_1{2}:  BLOWFISH_CBC_128/HMAC_MD5_96, 3540 bytes_i (59 pkts, 1s ago), 0 bytes_o, rekeying in 7 hours
     IPSEC_1{2}:   172.16.x.10/32 === 172.16.x.9/32
     IPSEC_1[1]: CONNECTING, 172.16.x.10[172.16.x.10]...172.16.x.9[172.16.x.9]
     IPSEC_1[1]: IKEv2 SPIs: 1ac2260058d6374f_i* 257bddd91d45202a_r
     IPSEC_1[1]: IKE proposal: AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
     IPSEC_1[1]: Tasks active: IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE
e200-2#


После перезапуска железок всё нужно повторить заново. После продолжительного времени неактивности всё нужно повторить заново.

Пытаемся запустить офис на таком оборудовании, но так работать невозможно.

[leonid_zarkov]

Добрый день.

Обновитесь на версию ПО 1.0.7. Необходимые данные выслал Вам в личку.

Для полного устранения проблемы, необходимо сконфигурировать параметры dead-peer-detection

Код: Выделить всё

security ike gateway IKE_gateway
  version v2-only
  ike-policy IKE_policy
  mode route-based
  bind-interface vti 1
  dead-peer-detection action restart
  dead-peer-detection interval 60
  dead-peer-detection timeout 180
exit

Так же установите таймер реаутентификации (параметр lifetime):

Код: Выделить всё

security ike proposal IKE_proposal
  authentication algorithm md5
  encryption algorithm aes128
  lifetime 1140
  dh-group 2
exit


Для поднятия туннеля, в случае его остановки, перезапустите IPSec на одном из пиров:

Код: Выделить всё

esr-200(config)# security ipsec vpn IPSEC_1
esr-200(config-ipsec-vpn)# no enable
esr-200(config-ipsec-vpn)# do commit
2011-10-28T01:55:30+00:00 %CLI-I-CRIT: user admin from console  input: do commit
2011-10-28T01:55:31+00:00 charon stopped after 200 ms
2011-10-28T01:55:31+00:00 ipsec starter stopped
Configuration has been successfully committed
esr-200(config-ipsec-vpn)# do restore
2011-10-28T01:55:50+00:00 Starting strongSwan 5.3.2 IPsec [starter]...
2011-10-28T01:55:51+00:00 charon (30802) started after 820 ms
Previous confirmed configuration was restored.
Configuration has been successfully restored
esr-200(config-ipsec-vpn)# do rollback


Настройка таймеров должна предотвратить падения туннеля.

[simonov]

Добрый день.

Обновитесь на версию ПО 1.0.7. Необходимые данные выслал Вам в личку.

Для полного устранения проблемы, необходимо сконфигурировать параметры dead-peer-detection

Спасибо, проверим, но в ЛС пусто.

[leonid_zarkov]

Отправил данные в ЛС повторно.

[kt72ru]

после обновления и ввода указанных команд, тоннель рвется каждые 60сек.

[leonid_zarkov]

после обновления и ввода указанных команд, тоннель рвется каждые 60сек.

Добрый день.

Обнаружил проблему с таймером lifetime.

Код: Выделить всё

security ike proposal IKE_proposal
  authentication algorithm md5
  encryption algorithm aes128
  lifetime 1140
  dh-group 2
exit

Рекомендую удалить его из конфигурации до устранения проблемы.
Отправил вам адрес почты в ЛС, просьба выслать дополнительную информацию по проблеме.

[kt72ru]

я уже этот таймер накрутил по максимуму, вроде пока стоит туннель.

[leonid_zarkov]

По результатам проверки на стенде с параметром dead-peer-detection без указания lifetime IKE и IPSEc (т.е. используя значения по умолчанию), проблем с падениями туннеля не выявил.
Uptime на текущий момент: System uptime: 17 hours, 59 minutes and 25 seconds

Код: Выделить всё

 
esr-200# sh security ipsec vpn status IPSEC_1
Currently active IKE SA:
    Name:                      IPSEC_1
    State:                     Established
    Version:                   v2-only
    Unique ID:                 25
    Local host:                172.16.10.9
    Remote host:               172.16.10.10
    Role:                      Initiator
    Initiator spi:             0x42f8c9e56a3b96c7
    Responder spi:             0xf54578e0542075ad
    Encryption algorithm:      aes128
    Authentication algorithm:  md5
    Diffie-Hellman group:      2
    Established:               7 minutes and 44 seconds ago
    Rekey time:                7 minutes and 44 seconds
    Reauthentication time:     28 minutes and 59 seconds
    Child IPsec SAs:
        Name:                      IPSEC_1
        State:                     Installed
        Protocol:                  esp
        Mode:                      Tunnel
        Encryption algorithm:      blowfish128
        Authentication algorithm:  md5
        Rekey time:                7 hours, 35 minutes and 51 seconds
        Life time:                 7 hours, 52 minutes and 16 seconds
        Established:               7 minutes and 44 seconds ago
        Traffic statistics:
            Input bytes:           0
            Output bytes:          0
            Input packets:         0
            Output packets:        0
        -------------------------------------------------------------


При повторении проблемы просьба написать мне на почту.
Контаткы у вас в ЛС ucp.php?i=pm&folder=inbox.

[kt72ru]

Потребовалось нам организовать второй тоннель между ESR и железкой стороннего производителя.
На отдельный интерфейс подключаем канал от оператора.
По аналогии с первым тоннелем настраиваем второй. Прописываем необходимые маршруты.
Запускаем. Тоннель застревает на фазе Connecting. На удаленной стороне снифер показывает что от ESR не приходят пакеты.
По данным "sh security ipsec vpn status" адрес источника и приемника правильные.
Складывается ощущение что ESR строит тоннель либо с неправильного адреса, либо он не умеет работать более чем с одним тоннелем.

[simonov]

И дополнительно, для информации.

После обновления с версии 1.0.6 до версии 1.0.7 на оборудовании слетает конфигурация. После сравнения выяснилось, что 1.0.6 принимает bridge с номерами 300+, а 1.0.7 ограничивает номера bridge от 1 до 250. При загрузке из-за этого применяется только конфигурация по умолчанию.

Очень неприятное поведение, пришлось ехать на удалённую площадку, чтобы заново выполнить конфигурацию оборудования.

[leonid_zarkov]

Потребовалось нам организовать второй тоннель между ESR и железкой стороннего производителя.

Добрый день.
Проблема в различии подходах реализации IPSec, например с CISCO: viewtopic.php?f=10&t=5875
"IPSec между Cisco и ESR в режиме Route-based на текущий момент не совместим.
В версии 1.1.0 будет реализован режим Policy-based, который будет совместим с Cisco Policy-based."

[leonid_zarkov]

После обновления с версии 1.0.6 до версии 1.0.7 на оборудовании слетает конфигурация. После сравнения выяснилось, что 1.0.6 принимает bridge с номерами 300+, а 1.0.7 ограничивает номера bridge от 1 до 250. При загрузке из-за этого применяется только конфигурация по умолчанию.

В версии ПО 1.0.7 для ESR-100 и ESR-200 уменьшено число субинтерфейсов, бриджей и туннелей всех типо в 2 раза.
Данная информация будет размещена в списке изменений (после выхода релизной версии ПО 1.0.7) и инструкции по обновлению ПО.

[leonid_zarkov]

После обновления с версии 1.0.6 до версии 1.0.7 на оборудовании слетает конфигурация. После сравнения выяснилось, что 1.0.6 принимает bridge с номерами 300+, а 1.0.7 ограничивает номера bridge от 1 до 250. При загрузке из-за этого применяется только конфигурация по умолчанию.

Проблема перехода на версию ПО 1.0.7 на ESR-100 и ESR-200, связанная с имеющимися в конфигурации bridges 251-500 и туннелями 251-500, решена.
Правки будут доступны в релизной версии ПО 1.0.7.