Снапшот содержит бинарный слепок корневой партиции шлюза.
Поддерживается восстановление снапшота только на шлюз того же типа
sk108902

У вас оно, возможно и заработает, но гарантий отсутствия глюков никто не дает

Добрый день, коллеги.

Подскажите, кто-нибудь сталкивался со следующей проблемой:

Дано:
Standalone кластер checkpoint на Gaia R77.30 в режиме Full-HA.
Поднят туннель на ГОСТ2012.

Проблема: туннель падает каждые 1-2 дня.
В логах сообщения в хронологическом порядке:
 IKE: GOST INIT: no SiteID found;
 encryption failure: Error occurred;
 IKE: Main Mode GOST is not initialized (check Site Cert/PSK, GOST license and libraries);
 message: TUNNEL STATUS CHANGE: Peer gateway has changed status to DOWN.

После этого по прошествии какого-то времени (возможно, несколько минут или несколько часов) туннель поднимается – и все работает. Причем, он может проработать несколько дней, а может – упасть дважды за час.

Мы пробовали:
 Перегенерировать Site Key. Неоднократно;
 Проверили, действительна ли лицензия на криптопро на обеих нодах кластера;
  Пробовали менять активную ноду с целью исключить аппаратную неисправность конкретного устройства;

Безрезультатно.

Может, кто-нибудь уже решал подобную задачу?

Снапшот содержит бинарный слепок корневой партиции шлюза.
Поддерживается восстановление снапшота только на шлюз того же типа
sk108902

У вас оно, возможно и заработает, но гарантий отсутствия глюков никто не дает

Добрый день, коллеги.

Подскажите, кто-нибудь сталкивался со следующей проблемой:

Дано:
Standalone кластер checkpoint на Gaia R77.30 в режиме Full-HA.
Поднят туннель на ГОСТ2012.

Проблема: туннель падает каждые 1-2 дня.
В логах сообщения в хронологическом порядке:
 IKE: GOST INIT: no SiteID found;
 encryption failure: Error occurred;
 IKE: Main Mode GOST is not initialized (check Site Cert/PSK, GOST license and libraries);
 message: TUNNEL STATUS CHANGE: Peer gateway has changed status to DOWN.

После этого по прошествии какого-то времени (возможно, несколько минут или несколько часов) туннель поднимается – и все работает. Причем, он может проработать несколько дней, а может – упасть дважды за час.

Мы пробовали:
 Перегенерировать Site Key. Неоднократно;
 Проверили, действительна ли лицензия на криптопро на обеих нодах кластера;
  Пробовали менять активную ноду с целью исключить аппаратную неисправность конкретного устройства;

Безрезультатно.

Может, кто-нибудь уже решал подобную задачу?

1. Тикет в саппорт открыли?
2. С каких дистрибутивов ставились?

1. ТП коллаборативная. Запрос дистрибьютору отправили, они его зарегистрировали, информации о состоянии запроса от ЧП пока нет.
2. Дистрибутивов хотфикса? Не понятен вопрос

В качестве дополнительной информации могу указать, что такая же проблема наблюдается еще на одном объекте. Из общих факторов - если подключиться через дашборд и в объекте кластера зайти в "certificates" - там висит один-единственный сертификат от internal_CA (который используется для генерации site key). На обоих объектах первое падение туннеля совпадает с датой истечения этого сертификата.
На одном объекте мы его обновили (через кнопку renew), заново сгенерировали site key, но туннель упал примерно через сутки.

И еще - туннель не поднимается сам, а только после инсталляции политик

Это все из-за VPN сертификата от internal CA, ГОСТ сертификаты в свойствах каждой годы во вкладке VPN.
Internal CA серт нужно обновить на обоих узлах. У вас VPN между ними? Они под одним мгмт?

Добрый день. Возможно ли на одном CP, имея подключение к двум провайдерам, сделать так, чтобы пользователи одного vlan выходили в интернет только через одного провайдера, а все остальные - через другого?

Это все из-за VPN сертификата от internal CA, ГОСТ сертификаты в свойствах каждой годы во вкладке VPN.
Internal CA серт нужно обновить на обоих узлах. У вас VPN между ними? Они под одним мгмт?

Проблема на iPhone 5s

Я же правильно понимаю, что
Internal_ca выдает сертификат (назовем его условно CL-cert), который мы видим только на "Certificates" объекта кластера,
а условный GOST-CA генерирует запрос на сертификат для каждой ноды кластера?

И по идее, достаточно заменить вот этот CL-cert и перегенерировать Site Key? Или нет?

Или что-то нужно еще сделать на другой стороне туннеля? Сложность в том, что до этого оборудования у нас доступа нет.

у меня когда-то был 5s, работало нормально.

Ну а так капсула не любит старые ОС телефонов, особенно какой-нибудь Android 4.x, у которой проблемы SSL библиотеками

Вот в логах оно на сертификат ругается, что типа недоверенный. По инструкции из sk86860 добавил сертификат в общее хранилище, все равно не работает. Причем эта проблема только у одного пользователя, у остальных 50+ работает.

Вот в логах оно на сертификат ругается, что типа недоверенный. По инструкции из sk86860 добавил сертификат в общее хранилище, все равно не работает. Причем эта проблема только у одного пользователя, у остальных 50+ работает.