Добрый день!у меня такая ситуация:
Между двумя цисками установлен vpn, интерфейсы (Tunnel) всегда в состоянии Up.
Когда долго пакеты между цисками не ходят лампочки на цисках тухнут, но при этом Tunnel в состоянии Up. Затем когда делаешь пинг с одного VPN Tunnel'я на другой первый пакет теряется, потом загорается лампочка на циске (vpn) и остальные пакеты проходят нормально. После всего этого лампочка горит, но через некоторое время простоя опять тухнет.
Подскажите пожалуйста это так и должно быть или есть способ заставить всегда держать соединение (хотя соединение вроде есть, но при следующем пинге первый пакет опять теряется)?
Извиняюсь за каламбур.Заранее благодарю за советы
Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика. Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая есть.
>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика.
>Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая
>есть.А как эта опция может называться?
>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика.
>Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая
>есть.keepalive на интерфейсе эсть?
>keepalive на интерфейсе эсть?Есть:
Keepalive not set
>>keepalive на интерфейсе эсть?
>
>Есть:
>Keepalive not set:) это его как раз нет
>>>keepalive на интерфейсе эсть?
>>
>>Есть:
>>Keepalive not set
>
>:) это его как раз нетkeepalive в моей циске может принимать значение от 0 до 32767, т.е. если поставить даже 32767 то через это время он все равно упадет.
>>>>keepalive на интерфейсе эсть?
>>>
>>>Есть:
>>>Keepalive not set
>>
>>:) это его как раз нет
>
>keepalive в моей циске может принимать значение от 0 до 32767, т.е.
>если поставить даже 32767 то через это время он все равно
>упадет.что у вас в настройках криптомэпа?
типа такого есть?:
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 4608
set security-association lifetime seconds 1080
>что у вас в настройках криптомэпа?
>типа такого есть?:
>crypto dynamic-map dynmap 10
> set security-association lifetime kilobytes 4608
> set security-association lifetime seconds 1080crypto map TUNNELMAP2 10 ipsec-isakmp
set peer 172.25.2.21
set peer 172.25.3.21
set peer 172.25.4.21
!
set transform-set TUNNEL-TRANSFORM2
match address 116
exit
!
access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>[оверквотинг удален]
>set peer 172.25.3.21
>set peer 172.25.4.21
>!
>set transform-set TUNNEL-TRANSFORM2
>match address 116
>exit
>!
>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21ip sla
и вообще нафиг тебе вечный тунель? у меня он отваливается но при новом обращении поднимается и нормуль.
>[оверквотинг удален]
>>exit
>>!
>>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>
>ip sla
>
>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>новом обращении поднимается и нормуль.Постоянные тунели нафиг в принципе не нужны....... только если в случае ну просто постоянного обмена трафиком между сетями...
>[оверквотинг удален]
>>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>>
>>ip sla
>>
>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>новом обращении поднимается и нормуль.
>
>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>просто постоянного обмена трафиком между сетями...и вообще иметь постоянный тунель вредно с точки зрения безопастности...
>[оверквотинг удален]
>>>
>>>ip sla
>>>
>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>>новом обращении поднимается и нормуль.
>>
>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>>просто постоянного обмена трафиком между сетями...
>
>и вообще иметь постоянный тунель вредно с точки зрения безопастности...с точки зрения безопасности раз в месяц надо менять ключи ,а лучше и чаще. токо кому енто не лень?
>[оверквотинг удален]
>>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>>>новом обращении поднимается и нормуль.
>>>
>>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>>>просто постоянного обмена трафиком между сетями...
>>
>>и вообще иметь постоянный тунель вредно с точки зрения безопастности...
>
>с точки зрения безопасности раз в месяц надо менять ключи ,а лучше
>и чаще. токо кому енто не лень?Да для туннелей по большому счету пофигу мне, если конечно не страдать совсем уж большой манией преследований... один все сначала прогоняется по алгоритму Диффи-Хеллмана с 1536-битовым ключом... а потом уже по aes 256... А lifetime для ассоциаций защиты у меня 900 секунд поставлен... так что вряд ли влезут. :)