О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Маршрутизаторы Элтекс
Re: Маршрутизаторы Элтекс
Pyro_GI, покажите настройки object-group network для vpn-сети.
Re: Маршрутизаторы Элтекс
Garri писал(а):А что покажет - show security ipsec vpn status IPSEC_VPN1 ?
Выдает это.
Присутствует инвалид неясного происхождения.
Попутно тут врет Encryption algorithm: des -- в настройках прописан только AES256.
Код: Выделить всё
GW1# sh security ike proposal IKE_prop1
Description: --
Encryption algorithm: aes256
Diffie-Hellman group: 2
Authentication algorithm: sha1
Код: Выделить всё
GW1# sh security ipsec vpn status IPSEC_VPN1
Currently active IKE SA:
Name: IPSEC_VPN1
State: Established
Version: v1-only
Unique ID: 215
Local host: X.X.X.227
Remote host: Y.Y.Y.244
Role: Responder
Initiator spi: 0xf17a37b02b6af8bd
Responder spi: 0x35426279d7f61beb
Encryption algorithm: des
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 16 minutes and 55 seconds ago
Rekey time: 16 minutes and 55 seconds
Reauthentication time: 2 hours, 26 minutes and 12 seconds
Child IPsec SAs:
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 14 minutes and 40 seconds
Life time: 28 minutes and 54 seconds
Established: 31 minutes and 6 seconds ago
Traffic statistics:
Input bytes: 11200
Output bytes: 46021573
Input packets: 132
Output packets: 100143
-------------------------------------------------------------
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 7 minutes and 39 seconds
Life time: 21 minutes and 33 seconds
Established: 38 minutes and 27 seconds ago
Traffic statistics:
Input bytes: 613007
Output bytes: 59453490
Input packets: 1186
Output packets: 54556
-------------------------------------------------------------
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 4 minutes and 17 seconds
Life time: 19 minutes and 9 seconds
Established: 40 minutes and 51 seconds ago
Traffic statistics:
Input bytes: 67572
Output bytes: 4170902
Input packets: 815
Output packets: 7064
-------------------------------------------------------------
Name: IPSEC_VPN1
State: Invalid
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 49710 days, 6 hours, 24 minutes and 9 seconds
Life time: 13 minutes and 32 seconds
Established: 46 minutes and 28 seconds ago
Traffic statistics:
Input bytes: 15910055
Output bytes: 18007040
Input packets: 87500
Output packets: 27241
-------------------------------------------------------------
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 28 minutes and 44 seconds
Life time: 45 minutes and 58 seconds
Established: 14 minutes and 2 seconds ago
Traffic statistics:
Input bytes: 8895623
Output bytes: 43007297
Input packets: 18501
Output packets: 58725
-------------------------------------------------------------
Re: Маршрутизаторы Элтекс
Garri писал(а):Pyro_GI, покажите настройки object-group network для vpn-сети.
Site-to-Site VPN построен в режиме маршрутизации через тоннель VTI. Так что кроме единственной подсети, расположенной на противоположном конце тоннеля, пропускать внутрь нечего.
С внутренней стороны тоннеля подсетей несколько. К ним тоже прописаны маршруты и трафик ходит без нареканий.
Удаленная подсеть.
Код: Выделить всё
object-group network USR_subnet
ip prefix 2.2.2.0/24
exit
Маршрут до удаленной подсети.
Код: Выделить всё
ip route 2.2.2.0/24 tunnel vti 1
В выводе sh security ipsec vpn authentication IPSEC_VPN1 строка
Код: Выделить всё
X.X.X.227 Y.Y.Y.244 1.1.1.0/24 2.2.2.0/24 Pre-shared key Established
Re: Маршрутизаторы Элтекс
Если настроен Site-to-Site , то с другой стороны тоже ESR стоит ?
Re: Маршрутизаторы Элтекс
Garri писал(а):Если настроен Site-to-Site , то с другой стороны тоже ESR стоит ?
С противоположной стороны стоит PFsense 2.4.5-RELEASE и отображает все установившиеся соединения без ошибок. Алгоритмы шифрования и проверки подлинности отображаются верно, предача данных идет в обе стороны.
Re: Маршрутизаторы Элтекс
Задайте вопрос ТП через сайт, что они скажут, самому интересно.
Re: Маршрутизаторы Элтекс
Запустил закачку большого файла между Windows-машинами по разные стороны тоннеля во всю ширь канала 100Мбит/с. В syslog посыпались сообщения о переполнении фрагментами.
Напрашивается изменение параметров очереди фрагментов. Среди параметров соединений в ip firewall sessions ничего про это не нашел. Где это исправить? Куда копать?
Напрашивается изменение параметров очереди фрагментов. Среди параметров соединений в ip firewall sessions ничего про это не нашел. Где это исправить? Куда копать?
Код: Выделить всё
2020-04-13 17:13:46 user.notice X.X.X.1 <2> 2020-04-13T17:13:46+03:00 %SYSTEM-C-KERNEL: [20440.860000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:13:46 user.notice X.X.X.1 <2> 2020-04-13T17:13:46+03:00 %SYSTEM-C-KERNEL: [20440.868000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:13:46 user.notice X.X.X.1 <2> 2020-04-13T17:13:46+03:00 %SYSTEM-C-KERNEL: [20441.016000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:13:47 user.notice X.X.X.1 <2> 2020-04-13T17:13:47+03:00 %SYSTEM-C-KERNEL: [20441.420000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:14:06 user.notice X.X.X.1 <2> 2020-04-13T17:14:06+03:00 %SYSTEM-C-KERNEL: [20460.184000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
2020-04-13 17:14:06 user.notice X.X.X.1 <2> 2020-04-13T17:14:06+03:00 %SYSTEM-C-KERNEL: [20460.192000] saesoc_add_frags:1105, Error - Fragments overflow max 18 cur 18 more 2
Re: Маршрутизаторы Элтекс
Garri писал(а):Задайте вопрос ТП через сайт, что они скажут, самому интересно.
Отправил запрос в ТП, жду ответа.
Re: Маршрутизаторы Элтекс
Что ответили?
Re: Маршрутизаторы Элтекс
Пока только это.
Encryption algorithm: des - этот баг уже известен, на работу не влияет, будет исправлен в следующих версиях ПО.
Re: Маршрутизаторы Элтекс
Garri писал(а):Что ответили?
Для освежения памяти.
Через тоннель Site-to-Site VPN IKEv1 пробрасывается 6 (шесть) подсетей. Строки ip prefix is invalid количественно соответствуют установившимся соединениям фазы 2, включая одно калечное из-за несвоевременной переключевки. И только про одно исправное соединение фазы 2 выводятся сведения понятным образом.
Код: Выделить всё
GW1# sh security ipsec vpn authentication IPSEC_VPN1
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
Local host Remote host Local subnet Remote subnet Authentication State
--------------- --------------- ------------------- ------------------- ----------------------------------------- -----------
X.X.X.227 Y.Y.Y.244 10.62.1.0/24 10.19.19.0/24 Pre-shared key Established
После ряда моих доводов в пользу более развернутого и законченного вывода команды sh security ipsec vpn authentication представитель ТП выдал это.
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов. Несмотря на большое количество сетей, показывать будет только одно подключение.
Повторюсь, подключений второй фазы, -- шесть штук. Почему отображено только одно подключение? Почему именно это подключение? Ответа нет.
Возникла ли у представителя ТП мысль, что это недоработка ПО ESR, и ее хорошо бы устранить, доведя до сведения разработчиков? Если это уже не исправлено в новой версии, конечно. Кстати, где она? А если исправлено, то зачем это скрывать? Копнуть глубже, поспрашивать коллег и повысить таким образом свою осведомленность, и дать удовлетворительный ответ клиенту, видимо, излишне?
Мой вопрос про зависание рабочей сессии SSH непосредственно к ESR через этот же тоннель Site-to-Site тоже остался без ответа и даже попытки решить.
Итогом обращения в ТП -- впустую потраченное время. А ведь эта услуга отдельных денег стоит и конечна.
Если эту ветвь читают ответственнные сотрудники ELTEX, номер моего обращения 17274 от 13.04.2020.
-
- Сообщения: 31
- Зарегистрирован: 05 сен 2019 16:21
- Reputation: 0
Re: Маршрутизаторы Элтекс
Добрый день! На одну фазу IKE должна быть только одна 2-я фаза. А SSH разрывается вероятнее из-за того, что PFsense постоянно переподнимает вторую фазу. Никаких проблем в ПО ESR здесь нет.
Re: Маршрутизаторы Элтекс
alexander346 писал(а):Добрый день! На одну фазу IKE должна быть только одна 2-я фаза.
Это я не оспариваю.
Внутри второй фазы пробрасываются подсети в количестве больше одной. И по соединениям в рамках второй фазы части сведений нет.
Как по ниже приведенным сведениям понять: 1) какие именно подсети вообще пробрасываются, 2) какие подсети через тоннель пробрасываются исправно, 3) какие в инвалидном состоянии? По счетчикам времени и пакетов? Или должны быть иные, более явные отличитиельные признаки?
Код: Выделить всё
Child IPsec SAs:
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 14 minutes and 40 seconds
Life time: 28 minutes and 54 seconds
Established: 31 minutes and 6 seconds ago
Traffic statistics:
Input bytes: 11200
Output bytes: 46021573
Input packets: 132
Output packets: 100143
-------------------------------------------------------------
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 7 minutes and 39 seconds
Life time: 21 minutes and 33 seconds
Established: 38 minutes and 27 seconds ago
Traffic statistics:
Input bytes: 613007
Output bytes: 59453490
Input packets: 1186
Output packets: 54556
-------------------------------------------------------------
Name: IPSEC_VPN1
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes256
Authentication algorithm: sha1
Rekey time: 4 minutes and 17 seconds
Life time: 19 minutes and 9 seconds
Established: 40 minutes and 51 seconds ago
Traffic statistics:
Input bytes: 67572
Output bytes: 4170902
Input packets: 815
Output packets: 7064
Более явные отличительные признаки видны в выводе команды sh security ipsec vpn authentication, но вывод неполный.
Рабочих подсетей внутри второй фазы, -- шесть штук. Корректно отображена только одна. Остальные проходят строками ip prefix is invalid, включая 7-ю действительно инвалидную из-за несвоевременной переключевки. Почему отображены сведения о связи только с одной подсетью? Почему выбрана именно эта подсеть?
Код: Выделить всё
GW1# sh security ipsec vpn authentication IPSEC_VPN1
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
2020-04-20T12:25:21+03:00 <network_ip_stringize_prefix> ip prefix is invalid
Local host Remote host Local subnet Remote subnet Authentication State
--------------- --------------- ------------------- ------------------- ----------------------------------------- -----------
X.X.X.227 Y.Y.Y.244 10.62.1.0/24 10.19.19.0/24 Pre-shared key Established
Теперь по SSH.
alexander346 писал(а):А SSH разрывается вероятнее из-за того, что PFsense постоянно переподнимает вторую фазу. Никаких проблем в ПО ESR здесь нет.
К чему догадки? На обеих сторонах VPN тоннеля есть счетчики времени и пакетов. На сколько я вижу по счетчикам, переподнятия второй фазы нет, -- как установились соединения обеих фаз несколько часов назад, так и работают. А зависание сессии SSH в рамках рабочего соединения фазы 2, -- есть.
Повторюсь, зависает исключительно подключение по SSH непосредственно к ESR. Параллельно запущенный непрерывный пинг пакетами по 1472 байта до ESR и другого, проверочного узла в той же подсети, что и адрес ESR, идет без потерь и без значимых изменений задержек, что могло бы указать на разрыв фазы 2. К любым другим узлам на противоположной стороне тоннеля подключение по SSH работает без нареканий. Мгновенно переподключиться к ESR по SSH тоже возможно, с последующим зависанием соединения.
Более того, я в опытах пошел чуть дальше и задействовал IKEv2 вместо IKEv1. Итог тот же, -- сессия SSH к ESR через тоннель виснет без видимого ущерба для работы ряда других соединений, включая SSH, RDP и файлообмен между узлами по разные стороны тоннеля.
Если имеющихся сведений недостаточно, скажите, что нужно еще?
Re: Маршрутизаторы Элтекс
Добрый вечер.
Имеем ESR1200 (1.8.. Увидел что service-acl на подинтерфейс (te1/0/8.304) наложить нельзя. Этот функционал будет реализован или развитие больше идет в сторону zone-based firewall и ограничения лучше сразу сделать при помощи этого механизма?
И два, ни service-acl, ни ZBFW пока не поддерживают IPv6?
Имеем ESR1200 (1.8.. Увидел что service-acl на подинтерфейс (te1/0/8.304) наложить нельзя. Этот функционал будет реализован или развитие больше идет в сторону zone-based firewall и ограничения лучше сразу сделать при помощи этого механизма?
И два, ни service-acl, ни ZBFW пока не поддерживают IPv6?
Re: Маршрутизаторы Элтекс
Также обратил внимание что нет фильтрации BGP префиксов по REGEXP. Таким образом нет возможности,например, по простому с пира получить префиксы всех соседей. Что-нибудь известно о планах/сроках реализации данной фичи? Спасибо.
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 59 гостей