O2 VDSL+FortiGate

zero

Ahoj,

máme nově na několika pobočkách VDSL linku od O2 předanou na terminátoru a PPPoE vytáčíme přímo z FortiGatu.
Konfigurace je naprosto jednoduchá - na fyz. iface je nahozená VLAN 848 a na ní PPPoE:

config system interface
    edit "848-o2"
        set vdom "root"
        set mode pppoe
        set allowaccess ping
        set alias "vdsl-secondary"
        set role wan
        set snmp-index 29
        set username "o2"
        set password ENC xxx
        set dns-server-override disable
        set interface "port2"
        set vlanid 848
    next
end

Na té lince máme IPsec tunel na centrálu a ten přidaný do sd-wany:

config vpn ipsec phase1-interface
    edit "to-HQ-L3"
        set interface "848-o2"
        set ike-version 2
        set keylife 28800
        set peertype any
        set net-device disable
        set proposal aes128gcm-prfsha256
        set dpd on-idle
        set dhgrp 14
        set nattraversal disable
        set remote-gw xxx.xxx.xxx.xxx
        set psksecret ENC xxx
        set dpd-retrycount 2
        set dpd-retryinterval 5
    next
end

Sporadicky (někdy 1x, někdy 3x denně) se ten tunel rozpojí a po chvíli zase připojí. Ale linka jako taková drží.
Zkoušel jsem si hrát s DPD, přepínat na IKE1, měnit šifrování, snižít MTU - pořád stejný.
Přitom ta samá služba (VDSL) ale od TMCZ funguje stabilně.
Debug jako takový sem zkoušel, ale je problém chytnout tu dobu, kdy to spadne a bejt u PC...

Nesetkal se s tím někdo?

Díky.

nosek_tomas2004

Asi vím, že je to nechtěná odpověď, ale problém vidím (bohužel) v

zero máme ... VDSL linku od O2

Osobně bych to řešil s nimi. Pokud jste větší firma, třeba budete mít štěstí, že se s Váma bude bavit někdo lepší, než pikolík z O2 Guru, kterej poradí akorát restartovat modem a že další zaručené řešení je O2 SmartBox.

Mě se to nikdy nepovedlo (ač tedy stejný problém jsem nepotkal) vždy to skončilo odchodem jinam....

Držím palce 😉

lmm

zero Zkuste to s set nattraversal forced v P1.

zero

lmm

Díky, dd včerejška to tak mám (forced na obou stranách).
Výpadků je méně, ale pořád jsou. Založil jsem ticket na O2 tak uvidíme.
Jako první prý příjdou změřit linku dle RFC2544 😃

Před tím NAT-T forced IKE DPD probe odchází a odpověď se nevrací, tunel se shodí a hned znovu naváže:

13:21:04 ike 0:to-HQ-L3: link is idle 194.xxx.xxx.xxx->195.xxx.xxx.xxx dpd=1 seqno=3943 13:21:04 ike 0:to-HQ-L3: send IKEv2 DPD probe, seqno 3943 13:21:04 ike 0:to-HQ-L3: sent IKE msg (INFORMATIONAL): 194.xxx.xxx.xxx:500->195.xxx.xxx.xxx:500, len=65 13:21:05 ike 0:to-HQ-L3: sent IKE msg (RETRANSMIT_INFORMATIONAL): 194.xxx.xxx.xxx:500->195.xxx.xxx.xxx:500, len=65 ... 13:21:10 ike 0:to-HQ-L3: static tunnel down event 0.0.0.0 (dev=32) 13:21:10 ike 0:to-HQ-L3: sending SNMP tunnel DOWN trap for to-HQ-L3 ... 13:21:11 ike 0: comes 195.xxx.xx.xxx:500->194.xxx.xxx.xxx:500,ifindex=49 13:21:11 ike 0: IKEv2 exchange=SA_INIT id=... 13:21:11 ike 0:to-HQ-L3: established IKE SA ... 13:21:11 ike 0:to-HQ-L3: sending SNMP tunnel UP trap

lmm

zero Ještě jeden tip - zkuste změnit hodnoty Key Lifetime v P1 a P2, aby nebyly na obou stranách shodne, rekey bude pak inicializovat pouze jedna strana.