Добрый день!

у меня такая ситуация:
Между двумя цисками установлен vpn, интерфейсы (Tunnel) всегда в состоянии Up.
Когда долго пакеты между цисками не ходят лампочки на цисках тухнут, но при этом Tunnel в состоянии Up. Затем когда делаешь пинг с одного VPN Tunnel'я на другой первый пакет теряется, потом загорается лампочка на циске (vpn) и остальные пакеты проходят нормально. После всего этого лампочка горит, но через некоторое время простоя опять тухнет.
Подскажите пожалуйста это так и должно быть или есть способ заставить всегда держать соединение (хотя соединение вроде есть, но при следующем пинге первый пакет опять теряется)?
Извиняюсь за каламбур.

Заранее благодарю за советы

• Состояние VPN туннеля (непонятки),Axis, 08:43 , 12-Май-08
  • Состояние VPN туннеля (непонятки),merkoivan, 09:12 , 12-Май-08
  • Состояние VPN туннеля (непонятки),fantom, 09:12 , 12-Май-08
    • Состояние VPN туннеля (непонятки),merkoivan, 09:15 , 12-Май-08
      • Состояние VPN туннеля (непонятки),CrAzOiD, 09:19 , 12-Май-08
        • Состояние VPN туннеля (непонятки),merkoivan, 09:25 , 12-Май-08
          • Состояние VPN туннеля (непонятки),CrAzOiD, 09:34 , 12-Май-08
            • Состояние VPN туннеля (непонятки),merkoivan, 09:46 , 12-Май-08
              • Состояние VPN туннеля (непонятки),KiM, 12:55 , 12-Май-08
                • Состояние VPN туннеля (непонятки),Алексей, 15:09 , 12-Май-08
                  • Состояние VPN туннеля (непонятки),Алексей, 15:10 , 12-Май-08
                    • Состояние VPN туннеля (непонятки),KiM, 15:28 , 12-Май-08
                      • Состояние VPN туннеля (непонятки),Алексей, 15:50 , 12-Май-08

Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика. Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая есть.

>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика.
>Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая
>есть.

А как эта опция может называться?

>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика.
>Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая
>есть.

keepalive на интерфейсе эсть?

>keepalive на интерфейсе эсть?

Есть:
Keepalive not set

>>keepalive на интерфейсе эсть?
>
>Есть:
>Keepalive not set

:) это его как раз нет

>>>keepalive на интерфейсе эсть?
>>
>>Есть:
>>Keepalive not set
>
>:) это его как раз нет

keepalive в моей циске может принимать значение от 0 до 32767, т.е. если поставить даже 32767 то через это время он все равно упадет.

>>>>keepalive на интерфейсе эсть?
>>>
>>>Есть:
>>>Keepalive not set
>>
>>:) это его как раз нет
>
>keepalive в моей циске может принимать значение от 0 до 32767, т.е.
>если поставить даже 32767 то через это время он все равно
>упадет.

что у вас в настройках криптомэпа?
типа такого есть?:
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 4608
set security-association lifetime seconds 1080

>что у вас в настройках криптомэпа?
>типа такого есть?:
>crypto dynamic-map dynmap 10
> set security-association lifetime kilobytes 4608
> set security-association lifetime seconds 1080

crypto map TUNNELMAP2 10 ipsec-isakmp
set peer 172.25.2.21
set peer 172.25.3.21
set peer 172.25.4.21
!
set transform-set TUNNEL-TRANSFORM2
match address 116
exit
!
access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
access-list 116 permit gre host 172.25.1.18 host 172.25.4.21

>[оверквотинг удален]
>set peer 172.25.3.21
>set peer 172.25.4.21
>!
>set transform-set TUNNEL-TRANSFORM2
>match address 116
>exit
>!
>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21

ip sla

и вообще нафиг тебе вечный тунель? у меня он отваливается но при новом обращении поднимается и нормуль.

>[оверквотинг удален]
>>exit
>>!
>>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>
>ip sla
>
>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>новом обращении поднимается и нормуль.

Постоянные тунели нафиг в принципе не нужны....... только если в случае ну просто постоянного обмена трафиком между сетями...

>[оверквотинг удален]
>>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>>
>>ip sla
>>
>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>новом обращении поднимается и нормуль.
>
>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>просто постоянного обмена трафиком между сетями...

и вообще иметь постоянный тунель вредно с точки зрения безопастности...

>[оверквотинг удален]
>>>
>>>ip sla
>>>
>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>>новом обращении поднимается и нормуль.
>>
>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>>просто постоянного обмена трафиком между сетями...
>
>и вообще иметь постоянный тунель вредно с точки зрения безопастности...

с точки зрения безопасности раз в месяц надо менять ключи ,а лучше и чаще. токо кому енто не лень?

>[оверквотинг удален]
>>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>>>новом обращении поднимается и нормуль.
>>>
>>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>>>просто постоянного обмена трафиком между сетями...
>>
>>и вообще иметь постоянный тунель вредно с точки зрения безопастности...
>
>с точки зрения безопасности раз в месяц надо менять ключи ,а лучше
>и чаще. токо кому енто не лень?

Да для туннелей по большому счету пофигу мне, если конечно не страдать совсем уж большой манией преследований... один все сначала прогоняется по алгоритму Диффи-Хеллмана с 1536-битовым ключом... а потом уже по aes 256... А lifetime для ассоциаций защиты у меня 900 секунд поставлен...  так что вряд ли влезут. :)