Ваша страна: Россия
Название провайдера: Ройлком
Скорость по тарифу: 4 мбит/с
Если наблюдаются разрывы, то как часто?: Регулярно, с интервалом 8 часов
Наблюдается проблема, когда нет нагрузки?: Да
Что пишется в статусе Вашего подключения при проблеме?: Активный
Антивирусные программы и фаерволы: Отключил
Настроен VPN канал между TL-ER6120 с одной стороны и софтовым VPN сервером на Strongswan Linux с другой стороны. Периодически строго каждые 8 часов канал валится, потом через 8 часов самостоятельно восстанавливается. Далее цикл повторяется. Когда канал отсутствует, почему то продолжает высвечиваться статус "Activ". Подозреваю что это связано с IKE lifetime = 28800 (8ч.), IPSec lifetime = 28800 (8ч.)
Далее настройки такие:
Режим: LAN to LAN
DPD: отключен
FPS: отключен
На обоих сторонах настройки абсолютно идентичны. Нужна ваша помощь. Уже мозг сломал.
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
TL-ER6120 <---> Strongswan
Правила форума
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Re: TL-ER6120 <---> Strongswan
Попробуйте в настройках TL-ER6120 в разделе VPN - IKE следующие параметры:
DPD: Enable
DPD Interval: по умолчанию
Такие же настройки сделайте на Strongswan
Ваша задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдёт, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке - это время жизни на обоих узлах. В заключение стоит упомянуть, что при смене политики на одном из узлов, изменения вступят в силу только при следующем наступлении Фазы Один. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.
DPD: Enable
DPD Interval: по умолчанию
Такие же настройки сделайте на Strongswan
Ваша задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдёт, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке - это время жизни на обоих узлах. В заключение стоит упомянуть, что при смене политики на одном из узлов, изменения вступят в силу только при следующем наступлении Фазы Один. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.
Re: TL-ER6120 <---> Strongswan
Про идентичность параметров на обеих сторонах, я даже и не заикаюсьAme писал(а):Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке - это время жизни на обоих узлах.
Вот что вычитал. http://www.opennet.ru/docs/RUS/vpn_ipsec/ раздел "фаза один и фаза два". Напросился вывод что время жизни первой фазы не только не должно превышать, но и не должно быть равно второй фазе? По умолчанию в TL-ER6120 эти параметры равны (28800 сек.). Это и создало описанную выше проблему. Установил значение первой фазы 28800 сек, значение второй фазы 3600 сек. и сразу всё тип топ. Вторые сутки наблюдаю, полет нормальный. IMHO, думается что было бы не плохо это учесть, в следующей версии прошивки. DPD не включал. Еще раз спасибо за быстрый и грамотный ответ!