Alexandrovav
20-04-2014, 11:31
Добрый день.
Есть микротик 450g. Он поднимает PPPOE соединение с провайдером через adsl модем. Модем в режиме бриджа. На микротике организован ipsec туннель c microsoft tmg server в другом офисе. Параметры ipsec такие
ipsec policy
source address 192.168.106.0/24
dst address 192.168.68.0/24
protocol all
action encrypt
level require
ipsec protocols esp
tunnel
sa srs белый адрес микротик
sa dst белый ip tmg
--
peer phase 1
address белый ip tmg
port 500
secret xxxxx
exchange mode main
send initial contact
proposal check obey
hash algorithm sha1
encr algorithm 3des
dh group modp1024
generate policy no
lifetime 08:00:00
dpd interval 120
dpd maximum failures 5
---
proposal
auth algorithm sha1
encr algorithm 3des
lifetime 01:00:00
pfs group modp1024
ipsec соединение устанавливается быстро и без проблем. Но в течении дня в закладке remote peer видно что соединение очень часто рвется (time established не достигает и 10 минут) при этом на закладке installed sa генерирубтся новые ключи. К концу дня их может быть больше сотни. Почему это может происходить?
Это нормально? Я раньше никогда с микротиком не работал и думал что ключей в installed sa должно быть не больше двух. При этом pppoe сессия не разрывается в течении дня. Может есть на микротик настройки чтобы уменьшить порог разрыва ipsec соединения? Чтобы оно установилось с утра и больше не разрывалось.
Кстати ночью когда никто не работает соединение не разрывается и всю ночь работает одна пара ключей.
Спасибо.
Есть микротик 450g. Он поднимает PPPOE соединение с провайдером через adsl модем. Модем в режиме бриджа. На микротике организован ipsec туннель c microsoft tmg server в другом офисе. Параметры ipsec такие
ipsec policy
source address 192.168.106.0/24
dst address 192.168.68.0/24
protocol all
action encrypt
level require
ipsec protocols esp
tunnel
sa srs белый адрес микротик
sa dst белый ip tmg
--
peer phase 1
address белый ip tmg
port 500
secret xxxxx
exchange mode main
send initial contact
proposal check obey
hash algorithm sha1
encr algorithm 3des
dh group modp1024
generate policy no
lifetime 08:00:00
dpd interval 120
dpd maximum failures 5
---
proposal
auth algorithm sha1
encr algorithm 3des
lifetime 01:00:00
pfs group modp1024
ipsec соединение устанавливается быстро и без проблем. Но в течении дня в закладке remote peer видно что соединение очень часто рвется (time established не достигает и 10 минут) при этом на закладке installed sa генерирубтся новые ключи. К концу дня их может быть больше сотни. Почему это может происходить?
Это нормально? Я раньше никогда с микротиком не работал и думал что ключей в installed sa должно быть не больше двух. При этом pppoe сессия не разрывается в течении дня. Может есть на микротик настройки чтобы уменьшить порог разрыва ipsec соединения? Чтобы оно установилось с утра и больше не разрывалось.
Кстати ночью когда никто не работает соединение не разрывается и всю ночь работает одна пара ключей.
Спасибо.