Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".

Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542

Убедительная просьба не дублировать темы на старом/новом форуме.

Автоматическое восстановление туннеля IPSec ?

SafeStream беспроводной широкополосный гигабитный VPN-маршрутизатор серии N
Ответить
Vladr
Сообщения: 36
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 16 сен 2015, 15:41

Аппаратная версия устройства: v
Версия прошивки: 1.1.0 Build 20141031 Rel.32628s
Ваша страна: Россия
Название провайдера: Билайн
Тип подключения: L2TP
В роутере подняты три туннеля LAN-to-LAN IPSec:
1. 10.0.0.0/24
2. 10.2.0.0/20
3. 192.168.105.0/24

Изначально была попытка использовать для 10-х подсетей один туннель в подсеть 10.0.0.0/14, т.е. точно так же, как это настроено с другой стороны на CISCO. Но оказалось, что у TP-Link проблемы с поднятием туннелей, у которых маска меньше 16. Потратили 2 дня на выяснение этой особенности. В итоге разделили один туннель на два.
Первый к серверам, второй к VoIP шлюзу.
Так вот первый туннель, хоть там и разрешен DPD, периодически отваливается. Поднять его получается только путем
запрета IPSec на странице "IPSec Policy" с сохранением изменений и потом разрешения опять же с сохранением изменений. После этой манипуляции все туннели установлены и работают.
Попытка пинга сервера из адресного пространства первого туннеля, когда он перешел в состояние Disconnected, не инициирует поднятие туннеля в состояние Connected, пока не передернешь запрет IPSec.

Отсюда вопрос, есть ли возможность в роутере как-то передергивать все это дело по расписанию или же вообще перегружать роутер по расписанию?

Vladr
Сообщения: 36
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 18 сен 2015, 19:11

продолжил исследование.
Поставил с *nix сервера по крону пинг туннелированной подсети каждые 5 минут по 4 пакета. Результат пишется в лог. Пинговалась в течение 6 часов нормально, потом пинг не проходит.
Делаю пинг из консоли - не проходит. Смотрю на роутер. Тот в состоянии туннелей радостно сообщает, что туннель поднят, состояние Connected, как и до этого.
Иду на закладку IPSec Policy, передергиваю Disable/Enable и пинги опять радостно пошли...

Решил попробовать дергать IPSec через Telnet, но тут меня ждало полнейшее разочарование.
Даже в Zyxel Keenetic CLI по богатству команд очень далеко опережает данный роутер. Тут реально что-то настраивать только через WEB-интерфейс. В Zyxel наоборот. Необходимый минимум для домохозяйки через WEB, более тонкая и гибкая настройка - добро пожаловать в CLI.

Реальная польза тут только ребутнуть устройство, если WEB-интерфейс у него в очередной раз не прогружается и добраться до раздела Maintenance->Management->Reboot чтобы там нажать соответствующую кнопку и ответить всплывающий вопрос о необходимости ребута. Через Telnet это делается простым скриптом очень быстро.

PS Повесил бы ребут по скрипту, если подсеть не пингуется, но мешает проблема, описанная вот здесь Проблема соединения с провайдером L2TP после перезагрузки

Vladr
Сообщения: 36
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 18 сен 2015, 23:01

Уважаемые форумчане!
А кто-нибудь знает, как для этой модели правильно дать команду для переключения радиокнопок Enable/Disable с нажатием кнопки Save, чтобы сохранить состояние через curl или wget подобно такой
(для переподключения WAN в TP-LINK TL-WR1042ND)

curl —basic —user $USERNAME:$PASSWORD -A «Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)» —refer «http://$ROUTER_IP» «$ROUTER_IP/userRpm/StatusRpm.htm?Disconnect=Disconnect&wan=1″
#sleep 1
curl —basic —user $USERNAME:$PASSWORD -A «Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)» —refer «http://$ROUTER_IP» «$ROUTER_IP/userRpm/StatusRpm.htm?Connect=Connect&wan=1″

взято отсюда

Vladr
Сообщения: 36
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 21 сен 2015, 16:38

В результате остановился на таком скрипте. Запускаю его по крону утром, если удаленная подсеть не пингуется.
Конечно не хочется передергивать весь роутер, особенно имея проблему длительного установления коннекта с провайдером...

#!/bin/sh
Watched_IP="10.3.1.5"
Router_IP="192.168.1.1"
Username="user"
Password="password"

(if (! ping -q -c 2 $Watch_IP > /dev/null 2>&1) then
echo Ping fail
(
sleep 10
echo -e "$Username\r\n"
sleep 3
echo -e "$Password\r\n"
sleep 3
echo -e "enable\r\n"
sleep 3
echo -e "$Password\r\n"
sleep 3
echo -e "sys reboot\r\n"
sleep 3
echo -e "y\r\n"
sleep 3
echo -e "exit\r\n"
) | telnet $Router_IP
else
echo Ping Ok
fi)

Boris
Сообщения: 428
Зарегистрирован: 05 май 2012, 11:40
Страна: Россия
Откуда: Москва

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Boris » 23 сен 2015, 22:42

У меня на 604 поднимается ipsec с маской \14 , главное , чтобы на удалённой подсети действительно была \14 . За это уже отвечает удалённый гейт.
Никаких обрывов туннеля не наблюдаю - используется 604 в связке с 2 6120 более года , ребутаю максимум раз в 3 месяца, и то по другим косякам.
За скрипт - спасибо!
Мои модели:
TL-ER604W
TL-MR3420
TL-WDR3600

Помогу с настройкой TP-LINK. Пишите в ЛС.

Vladr
Сообщения: 36
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 27 сен 2015, 19:38

Boris писал(а):У меня на 604 поднимается ipsec с маской \14 , главное , чтобы на удалённой подсети действительно была \14 . За это уже отвечает удалённый гейт.
Да вот в том-то и дело, что техподдержка так же связывала 604 с 600 и ставили они там 14-ю маску.
А вот в связке с CISCO не поднимается у меня туннель.
На циске 100% 10.0.0.0/14 подсеть, т.к. там объединены две подсети на подключение 10.0.0.0/24 и 10.2.0.0/24
IKE и IPSec proposal настроены одинаково и на 604 и на CISCO.

Так вот я перебирал, начиная с 14 маски. соединение в 10.0.0.0 подсеть завелось только с маской 24.
10.2.0.0 с маской 20.

Кстати, точно такой же роутер 604 ставили у коллеги, так же не завелось соединение 10.0.0.0/14, так и пришлось опять разбивать на два соединения в 10.0.0.0/24 и 10.2.0.0/20 подсети...

Да, еще списался с забугорной техподдержкой TP-Link, они ответили, что эта проблема им известна. Я им скинул параметры IKE и IPSec с которыми не поднимается соединение, со скриншотами... Поблагодарили, взяли в работу, сказали, что сообщат, когда выйдет новая прошивка...

Ответить

Вернуться в «TL-ER604W»