Ранее описывался способ организации туннелей IPSec и IPIP туннелей через них. С той поры появилось несколько уточняющих моментов и выявились особенности работы с подобными туннелями.
1. Время жизни IKE (lifetime) достаточно важный параметр и не стоит его оставлять равным суткам по-умолчанию. Зачастую возможны случаи, когда вызывающая сторона не в состоянии определить потерю связи. Фаза 2 уже завершилась, а фаза 1 не перезапускается, потому что по-умолчанию механизм проверки соединения выключен.
Уменьшил lifetime до часа.
2. По-умолчанию проверка состояния вызываемой стороны в junos выключена. Называется механизм dead peer detection (DPD), описанный в RFC 3706 Dead Peer Detection. Иногда таймеры лучше не менять, чтобы было меньше переподключений.
3. При отсутствии передачи каких-либо данных имеет смысл поддерживать текущие сессии в вышестоящем устройстве, выполняющем трансляцию адресов. Обычно трансляции создаются на какое-то время и после определенного периода неактивности (idle-timeout) tcp-,udp,-сессий удаляются.
Необходимость проверки связана с тем, что IPSec очень критичен к потерям и попаданиям связи.
Выяснился так же интересный момент в используемой схеме, имеющий следующие симптомы:
- нет возможности установить tcp-сессию на адреса за туннелем, либо на адрес туннеля;
- пропускается icmp;
- есть возможность зайти только на адрес лупбека, который через туннель не маршрутизируется, так как является его источником.
Помог специалист техподдержки Juniper:
1. Время жизни IKE (lifetime) достаточно важный параметр и не стоит его оставлять равным суткам по-умолчанию. Зачастую возможны случаи, когда вызывающая сторона не в состоянии определить потерю связи. Фаза 2 уже завершилась, а фаза 1 не перезапускается, потому что по-умолчанию механизм проверки соединения выключен.
Уменьшил lifetime до часа.
2. По-умолчанию проверка состояния вызываемой стороны в junos выключена. Называется механизм dead peer detection (DPD), описанный в RFC 3706 Dead Peer Detection. Иногда таймеры лучше не менять, чтобы было меньше переподключений.
3. При отсутствии передачи каких-либо данных имеет смысл поддерживать текущие сессии в вышестоящем устройстве, выполняющем трансляцию адресов. Обычно трансляции создаются на какое-то время и после определенного периода неактивности (idle-timeout) tcp-,udp,-сессий удаляются.
ike {
proposal IKE_PROP_DEFAULT {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy IKE_POL_DEFAULT {
mode aggressive;
proposals IKE_PROP_DEFAULT;
pre-shared-key ascii-text "xxx"; ## SECRET-DATA
}
gateway HUB {
ike-policy IKE_POL_DEFAULT;
address 999.999.999.1;
dead-peer-detection {
always-send;
interval 10;
threshold 2;
}
nat-keepalive 5;
local-identity hostname SRX1;
external-interface fe-0/0/7;
Необходимость проверки связана с тем, что IPSec очень критичен к потерям и попаданиям связи.
Выяснился так же интересный момент в используемой схеме, имеющий следующие симптомы:
- нет возможности установить tcp-сессию на адреса за туннелем, либо на адрес туннеля;
- пропускается icmp;
- есть возможность зайти только на адрес лупбека, который через туннель не маршрутизируется, так как является его источником.
Помог специалист техподдержки Juniper:
set security flow tcp-session no-syn-check-in-tunnelНеобходимо вместе с оборудованием приобретать сервисные контракты, чтобы иметь не собственные мозги, а возможность общения с профессионалами.