01.06.2020 0:29, Eugene V. Boontseff wrote: > Здравствуйте, коллеги! > > У меня настроен ipsec между домашней машиной с freebsd 11.3 stable и > микротиком (RO 6.46.6)в удаленной сети. > Заметил, что периодически соединение падает, и доступ в удалённую локалку > прекращается. > Стал смотреть, с чем связано. И заметил такое: > У SA лафтайм 60 минут (48 soft). По истечении 48 минут, генерятся новые SA. > На миктротке видно, что в некоторых случаях для шифрования сразу начинают > использоваться новые, и тогда все нормально. Но в некоторых случаях > продолжает использоваться старые. Вот тогда, когда время жизни старых > истекает, то на микротике удаляются вообще все SA, а на freebsd только с > истекшим временем жизни. Соединение падает до следующей генерации. > Установил во фре net.key.preferred_oldsa=0, и показалось, что помогло. Но > нет. Проявляться стало реже, но совсем не прекратилось. > Какие есть мысли, что с этим делать? > PS. конфигами не стал засорять письмо, но если поможет, покажу, что > потребуется.
1. Обновить RouterOS до последней стабильной версии. 2. net.key.preferred_oldsa=0 это правильно, нужно всегда выставлять. 3. Нужно включить Dead Peer Detection (DPD) настройках IKE, желательно с обоих сторон. 4. 60 минут это очень мало. Я обычно ставлю 12 часов (как минимум 8 - длина рабочего дня). Какой софт для IKE используется на FreeBSD и кто из двоих систем инициатор? _______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
