[freebsd] ipsec freebsd <-> mikrotik: пропадает соединение.

[Eugene V. Boontseff]

On 31.05.2020 21:30, Eugene Grosbein wrote:
> 01.06.2020 0:29, Eugene V. Boontseff wrote:
>
>> Здравствуйте, коллеги!
>>
>> У меня настроен ipsec между домашней машиной с freebsd 11.3 stable и микротиком  (RO 6.46.6)в удаленной сети.
>> Заметил, что периодически соединение падает, и доступ в удалённую локалку прекращается.
>> Стал смотреть, с чем связано. И заметил такое:
>> У SA лафтайм 60 минут (48 soft). По истечении 48 минут, генерятся новые SA. На миктротке видно, что в некоторых случаях для шифрования сразу начинают использоваться новые, и тогда все нормально. Но в некоторых случаях продолжает использоваться старые. Вот тогда, когда время жизни старых истекает, то на микротике удаляются вообще все SA, а на freebsd только с истекшим временем жизни. Соединение падает до следующей генерации.
>> Установил во фре net.key.preferred_oldsa=0, и показалось, что помогло. Но нет. Проявляться стало реже, но совсем не прекратилось.
>> Какие есть мысли, что с этим делать?
>> PS. конфигами не стал засорять письмо, но если поможет, покажу, что потребуется.
> 1. Обновить RouterOS до последней стабильной версии.
Там последняя стабильная 6.46.6
> 2. net.key.preferred_oldsa=0 это правильно, нужно всегда выставлять.
> 3. Нужно включить Dead Peer Detection (DPD) настройках IKE, желательно с обоих сторон.
На микротке стоит DPD interval 120 s, в ракуне сейчас поставил тоже: 
dpd_delay 120; - это же в remote { .. }?
> 4. 60 минут это очень мало. Я обычно ставлю 12 часов (как минимум 8 - длина рабочего дня).
У меня и было 12. Я поставил так, когда искал в чем проблема.
>
> Какой софт для IKE используется на FreeBSD и кто из двоих систем инициатор?
>
>
racoon, freebsd инициатор, потому что ip не постоянный.
>

-- 
Eugene