Резервирование VPN

[altaranenco]

Eсть длинк LB604, он позволяет создать резервирование канала интернет в малом офисе. В центральном стоит FreeBSD 7+racoon.
схема примерна такая:
1)работаем с основным каналом WiFi на длинк 604. поднят VPN ipsec LB604-FreeBSD - Все гуд, все шифруется
2)канал "падает", vpn соединение рвется, длинк начинает поднимать второй канал
3)поднят второй канал, поднимаем второй VPN тунель, на все про- все уходит 1-2 сек
4)второй туннель подня, идет нормальная работа
5)возвращаем первый линк на место, канал переходит обратно мгновенно, но! VPN не поднимается. Помогает только рестарт Raccon. Вот с этим я пока и не могу справится.

Есть идеи как побороть подобную проблему?

На фре в ipsec.conf прописал только

Код: Выделить всё

flush;
spdflush;

все остальное добавляет автоматом Racoon (generate_policy on;)

Racoon.conf

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;
padding
{
		maximum_length 20;# максимальная длинна набивки (?).
		randomize off;		  # включение случайной длинны.
		strict_check off;	   # включить строгую проверку.
		exclusive_tail off;	 # извлекать один последний октет.
}

listen
{
		isakmp xxx.xxx.xxx.xxx [500];
}

timer
{
		counter 5;			  # максимальный счётчик попыток отсыла.
		interval 20 sec;	   # максимальный интерал для повторной посылки.
		persend 1;			  # число отсылаемых пакетов.
		phase1 30 sec;
		phase2 15 sec;
}

remote anonymous
{
		exchange_mode aggressive,main;
		#my_identifier asn1dn;
		#peers_identifier asn1dn;
		generate_policy on;
		nonce_size 16;
		lifetime time 900 sec;
		initial_contact on;
		support_mip6 on;
		proposal_check odey;
		proposal {
				encryption_algorithm 3des;
				hash_algorithm sha1;
				authentication_method rsasig;
				dh_group 2;
		}
}

sainfo anonymous
{
		pfs_group 2;
		lifetime time 900 sec;
		encryption_algorithm 3des;
		authentication_algorithm hmac_sha1;
		compression_algorithm deflate;
}

rc.conf в части касающейся:

Код: Выделить всё

racoon_enable="YES"

cloned_interfaces="gif0 gif1"
gif_interfaces="gif0 gif1"
gifconfig_gif0="xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy"
ifconfig_gif0="inet 192.168.0.2 192.168.1.1 netmask 0xffffffff"

gifconfig_gif1="zzz.zzz.zzz.zzz www.www.www.www"
ifconfig_gif1="inet 192.168.0.2 192.168.1.1 netmask 0xffffffff"

# Включаем IPSEC
ipsec_enable="YES"

static_routes="VPN2"
route_VPN2="192.168.1.0/24 -interface gif1"
static_routes="VPN"
route_VPN="192.168.1.0/24 -interface gif0"

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[manefesto]

mpls ?
Сути не знаю работы, но у нас работает
Стоит правда на цисках

[schizoid]

а на д-линке сессия впн остается?

[altaranenco]

а на д-линке сессия впн остается?

Через некоторое время (ок 5 мин) умирает. Даже если на длинкуе вручную все разорвать и по новой запустить не работает. Дело как мне кажется в racoon, ибо убив его, и запустив заново получаем работоспособную среду.