речь пойдет о isakmpd и его некорректной работе.
Есть два шлюза А и B
к каждому щлюзу подключены по 2 провайдера:
- публичный (unlim) - доступность канала 94-96%
- единый_корпоративный с гарантированным QoS - доступность канала 99%
Столкнулся с проблемой одновременной работы 2х ipsec соединений м/д двумя шлюзами по разным каналам.
Один из 2х ipsec'ов отваливается постоянно. причем это может быть как на публичном канале (что простительно ему за его доступность),
но и может быть на канале с гарантированным QoS - доступностью 99%. Закономерность в падении пока не могу установить.
Код: Выделить всё
A.1. На шлюзе A подымается ipsec (в режиме Network-to-Network) до шлюза B по - публичному каналу (сети 172.16.0.0/24 и 192.168.0.0./24)и
A.2 На шлюзе A подымается ipsec (в режиме Host-to-Host) до шлюза B по - корпоративному каналу с гарантированным QoS (IP: 172.16.0.100 и 192.168.0.100)
Аналогичная конфигурация со стороны шлюза B
Код: Выделить всё
B.1. На шлюзе B подымается ipsec (в режиме Network-to-Network) до шлюза A по - публичному каналу (сети 192.168.0.0./24 и 172.16.0.0/24) и
B.2 На шлюзе B подымается ipsec (в режиме Host-to-Host) до шлюза A по - корпоративному каналу с гарантированным QoS (IP: 192.168.0.100 и 172.16.0.100)
НИже приложу нконфиг isakmpd.conf для пониманию сути вопроса.
Хост A - isakmpd.conf
Код: Выделить всё
[Phase 1]
111.111.111.111= ISAKMP-peer-B
10.10.111.2= ISAKMP-peer-B-corp
[Phase 2]
Connections= IPsec-VoIPA-VoIPB, IPsec-A-B
[ISAKMP-peer-B]
Phase= 1
Transport= udp
Address= 111.111.111.111
Configuration= Default-main-mode
Authentication= paSSword
[ISAKMP-peer-B-corp]
Phase= 1
Transport= udp
Local-address= 172.16.0.1
Address= 10.10.222.2
Configuration= Default-main-mode
Authentication= paSSword
ID= corp-A-ID
Remote-ID= corp-B-ID
[corp-A-ID]
ID-type= FQDN
Name= corp-A.local
[corp-B-ID]
ID-type= FQDN
Name= corp-B.local
[IPsec-A-B]
Phase= 2
ISAKMP-peer= ISAKMP-peer-B
Configuration= Default-quick-mode
Local-ID= Net-A
Remote-ID= Net-B
[IPsec-VoIPA-VoIPB]
Phase= 2
ISAKMP-peer= ISAKMP-peer-B-corp
Configuration= Default-quick-mode
Local-ID= Host-VoIP-A
Remote-ID= Host-VoIP-B
[Net-A]
ID-type= IPV4_ADDR_SUBNET
Network= 172.16.0.0
netmask= 255.255.255.0
[Net-B]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.0.0
Netmask= 255.255.255.0
[Host-VoIP-A]
ID-type= IPV4_ADDR
Address= 172.16.0.100
[Host-VoIP-B]
ID-type= IPV4_ADDR
Address= 192.168.0.100
[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA
[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-AES-SHA-PFS-SUITE
Код: Выделить всё
[Phase 1]
222.222.222.222= ISAKMP-peer-A
10.10.222.2= ISAKMP-peer-A-corp
[Phase 2]
Connections= IPsec-VoIPB-VoIPA, IPsec-B-A
[ISAKMP-peer-A]
Phase= 1
Transport= udp
Address= 222.222.222.222
Configuration= Default-main-mode
Authentication= paSSword
[ISAKMP-peer-A-corp]
Phase= 1
Transport= udp
Local-address= 192.168.0.100
Address= 10.10.111.2
Configuration= Default-main-mode
Authentication= paSSword
ID= corp-B-ID
Remote-ID= corp-A-ID
[corp-A-ID]
ID-type= FQDN
Name= corp-A.local
[corp-B-ID]
ID-type= FQDN
Name= corp-B.local
[IPsec-B-A]
Phase= 2
ISAKMP-peer= ISAKMP-peer-A
Configuration= Default-quick-mode
Local-ID= Net-B
Remote-ID= Net-A
[IPsec-VoIPB-VoIPA]
Phase= 2
ISAKMP-peer= ISAKMP-peer-A-corp
Configuration= Default-quick-mode
Local-ID= Host-VoIP-B
Remote-ID= Host-VoIP-A
[Net-B]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.0.0
Netmask= 255.255.255.0
[Net-A]
ID-type= IPV4_ADDR_SUBNET
Network= 172.16.0.0
netmask= 255.255.255.0
[Host-VoIP-A]
ID-type= IPV4_ADDR
Address= 172.16.0.100
[Host-VoIP-B]
ID-type= IPV4_ADDR
Address= 192.168.0.100
[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA
[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-AES-SHA-PFS-SUITE
IP адреса узлов в нижеследующей секиции isakmpd.conf прописаны в /etc/hosts
Код: Выделить всё
[corp-A-ID]
ID-type= FQDN
Name= corp-A.local
[corp-B-ID]
ID-type= FQDN
Name= corp-B.local
Код: Выделить всё
/etc/hosts
10.10.222.2 corp-A.local
10.10.111.2 corp-B.local