IPSEC тоннель между Cisco ISR и Mikrotik падает [UNRESOLVED]

UPD: Описанный ниже способ по какой-то причине не сработал, тоннели продолжили падать.

Если у кого получится побороть проблему — отпишитесь, пожалуйста =)

Сделал «костыль» — через kron роутера раз в 5 часов удаляется SA.

Постоянно сталкивался с проблемой, что тоннель между Cisco и Mikrotik переставал работать, при этом все остальные тоннели работают без проблем.
При всём при этом, в статусе ipsec sa на циске нет никаких проблем, тоннель вроде как живой, но по факту не работает.

Как оказалось, ВРОДЕ КАК дело в том, что Cisco не поддерживает RFC 4301 и получая от Микротика сообщение о перезагрузке IPSEC SA (ECN — Explicit Congestion Notification) не перезагружает SA.

Решить проблему Cisco предлагает достаточно просто, есть 2 варианта:

1. Настроить глобально поддержку RFC 4301 :

crypto ipsec security-association ecn propogate

Но, такой способ ВОЗМОЖНО затронет тоннель с другими цисками, если они есть.

ИЛИ

2. Включить поддержку для конкретной записи Crypto Map :

crypto map map-name seq-num ipsec-isakmp
 set ipsec security-association ecn propogate

После этого всё должно быть ок, но НЕТ. По крайней мере у меня.

Тут больше информации о поддержке RFC 4301 со стороны Cisco

0

Добавить комментарий

Ваш e-mail не будет опубликован.