Автоматическое восстановление туннеля IPSec ?

SafeStream беспроводной широкополосный гигабитный VPN-маршрутизатор серии N
Vladr
Сообщения: 34
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 16 сен 2015, 15:41

Аппаратная версия устройства: v
Версия прошивки: 1.1.0 Build 20141031 Rel.32628s
Ваша страна: Россия
Название провайдера: Билайн
Тип подключения: L2TP
В роутере подняты три туннеля LAN-to-LAN IPSec:
1. 10.0.0.0/24
2. 10.2.0.0/20
3. 192.168.105.0/24

Изначально была попытка использовать для 10-х подсетей один туннель в подсеть 10.0.0.0/14, т.е. точно так же, как это настроено с другой стороны на CISCO. Но оказалось, что у TP-Link проблемы с поднятием туннелей, у которых маска меньше 16. Потратили 2 дня на выяснение этой особенности. В итоге разделили один туннель на два.
Первый к серверам, второй к VoIP шлюзу.
Так вот первый туннель, хоть там и разрешен DPD, периодически отваливается. Поднять его получается только путем
запрета IPSec на странице "IPSec Policy" с сохранением изменений и потом разрешения опять же с сохранением изменений. После этой манипуляции все туннели установлены и работают.
Попытка пинга сервера из адресного пространства первого туннеля, когда он перешел в состояние Disconnected, не инициирует поднятие туннеля в состояние Connected, пока не передернешь запрет IPSec.

Отсюда вопрос, есть ли возможность в роутере как-то передергивать все это дело по расписанию или же вообще перегружать роутер по расписанию?
Vladr
Сообщения: 34
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 18 сен 2015, 19:11

продолжил исследование.
Поставил с *nix сервера по крону пинг туннелированной подсети каждые 5 минут по 4 пакета. Результат пишется в лог. Пинговалась в течение 6 часов нормально, потом пинг не проходит.
Делаю пинг из консоли - не проходит. Смотрю на роутер. Тот в состоянии туннелей радостно сообщает, что туннель поднят, состояние Connected, как и до этого.
Иду на закладку IPSec Policy, передергиваю Disable/Enable и пинги опять радостно пошли...

Решил попробовать дергать IPSec через Telnet, но тут меня ждало полнейшее разочарование.
Даже в Zyxel Keenetic CLI по богатству команд очень далеко опережает данный роутер. Тут реально что-то настраивать только через WEB-интерфейс. В Zyxel наоборот. Необходимый минимум для домохозяйки через WEB, более тонкая и гибкая настройка - добро пожаловать в CLI.

Реальная польза тут только ребутнуть устройство, если WEB-интерфейс у него в очередной раз не прогружается и добраться до раздела Maintenance->Management->Reboot чтобы там нажать соответствующую кнопку и ответить всплывающий вопрос о необходимости ребута. Через Telnet это делается простым скриптом очень быстро.

PS Повесил бы ребут по скрипту, если подсеть не пингуется, но мешает проблема, описанная вот здесь Проблема соединения с провайдером L2TP после перезагрузки
Vladr
Сообщения: 34
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 18 сен 2015, 23:01

Уважаемые форумчане!
А кто-нибудь знает, как для этой модели правильно дать команду для переключения радиокнопок Enable/Disable с нажатием кнопки Save, чтобы сохранить состояние через curl или wget подобно такой
(для переподключения WAN в TP-LINK TL-WR1042ND)

curl —basic —user $USERNAME:$PASSWORD -A «Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)» —refer «http://$ROUTER_IP» «$ROUTER_IP/userRpm/StatusRpm.htm?Disconnect=Disconnect&wan=1″
#sleep 1
curl —basic —user $USERNAME:$PASSWORD -A «Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)» —refer «http://$ROUTER_IP» «$ROUTER_IP/userRpm/StatusRpm.htm?Connect=Connect&wan=1″

взято отсюда
Vladr
Сообщения: 34
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 21 сен 2015, 16:38

В результате остановился на таком скрипте. Запускаю его по крону утром, если удаленная подсеть не пингуется.
Конечно не хочется передергивать весь роутер, особенно имея проблему длительного установления коннекта с провайдером...

#!/bin/sh
Watched_IP="10.3.1.5"
Router_IP="192.168.1.1"
Username="user"
Password="password"

(if (! ping -q -c 2 $Watch_IP > /dev/null 2>&1) then
echo Ping fail
(
sleep 10
echo -e "$Username\r\n"
sleep 3
echo -e "$Password\r\n"
sleep 3
echo -e "enable\r\n"
sleep 3
echo -e "$Password\r\n"
sleep 3
echo -e "sys reboot\r\n"
sleep 3
echo -e "y\r\n"
sleep 3
echo -e "exit\r\n"
) | telnet $Router_IP
else
echo Ping Ok
fi)
Boris
Сообщения: 378
Зарегистрирован: 05 май 2012, 11:40
Страна: Россия
Откуда: Москва

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Boris » 23 сен 2015, 22:42

У меня на 604 поднимается ipsec с маской \14 , главное , чтобы на удалённой подсети действительно была \14 . За это уже отвечает удалённый гейт.
Никаких обрывов туннеля не наблюдаю - используется 604 в связке с 2 6120 более года , ребутаю максимум раз в 3 месяца, и то по другим косякам.
За скрипт - спасибо!
Мои модели:
TL-ER604W
TL-MR3420
TL-WDR3600

Помогу с настройкой TP-LINK. Пишите в ЛС.
Vladr
Сообщения: 34
Зарегистрирован: 16 сен 2015, 10:49
Страна: Россия

Re: Автоматическое восстановление туннеля IPSec ?

Сообщение Vladr » 27 сен 2015, 19:38

Boris писал(а):У меня на 604 поднимается ipsec с маской \14 , главное , чтобы на удалённой подсети действительно была \14 . За это уже отвечает удалённый гейт.


Да вот в том-то и дело, что техподдержка так же связывала 604 с 600 и ставили они там 14-ю маску.
А вот в связке с CISCO не поднимается у меня туннель.
На циске 100% 10.0.0.0/14 подсеть, т.к. там объединены две подсети на подключение 10.0.0.0/24 и 10.2.0.0/24
IKE и IPSec proposal настроены одинаково и на 604 и на CISCO.

Так вот я перебирал, начиная с 14 маски. соединение в 10.0.0.0 подсеть завелось только с маской 24.
10.2.0.0 с маской 20.

Кстати, точно такой же роутер 604 ставили у коллеги, так же не завелось соединение 10.0.0.0/14, так и пришлось опять разбивать на два соединения в 10.0.0.0/24 и 10.2.0.0/20 подсети...

Да, еще списался с забугорной техподдержкой TP-Link, они ответили, что эта проблема им известна. Я им скинул параметры IKE и IPSec с которыми не поднимается соединение, со скриншотами... Поблагодарили, взяли в работу, сказали, что сообщат, когда выйдет новая прошивка...

Вернуться в «TL-ER604W»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость