URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16241
[ Назад ]

Исходное сообщение
"Состояние VPN туннеля (непонятки)"

Отправлено merkoivan , 12-Май-08 08:05 
Добрый день!

у меня такая ситуация:
Между двумя цисками установлен vpn, интерфейсы (Tunnel) всегда в состоянии Up.
Когда долго пакеты между цисками не ходят лампочки на цисках тухнут, но при этом Tunnel в состоянии Up. Затем когда делаешь пинг с одного VPN Tunnel'я на другой первый пакет теряется, потом загорается лампочка на циске (vpn) и остальные пакеты проходят нормально. После всего этого лампочка горит, но через некоторое время простоя опять тухнет.
Подскажите пожалуйста это так и должно быть или есть способ заставить всегда держать соединение (хотя соединение вроде есть, но при следующем пинге первый пакет опять теряется)?
Извиняюсь за каламбур.

Заранее благодарю за советы


Содержание

Сообщения в этом обсуждении
"Состояние VPN туннеля (непонятки)"
Отправлено Axis , 12-Май-08 08:43 
Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика. Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая есть.



"Состояние VPN туннеля (непонятки)"
Отправлено merkoivan , 12-Май-08 09:12 
>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика.
>Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая
>есть.

А как эта опция может называться?


"Состояние VPN туннеля (непонятки)"
Отправлено fantom , 12-Май-08 09:12 
>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика.
>Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая
>есть.

keepalive на интерфейсе эсть?


"Состояние VPN туннеля (непонятки)"
Отправлено merkoivan , 12-Май-08 09:15 
>keepalive на интерфейсе эсть?

Есть:
Keepalive not set


"Состояние VPN туннеля (непонятки)"
Отправлено CrAzOiD , 12-Май-08 09:19 
>>keepalive на интерфейсе эсть?
>
>Есть:
>Keepalive not set

:) это его как раз нет


"Состояние VPN туннеля (непонятки)"
Отправлено merkoivan , 12-Май-08 09:25 
>>>keepalive на интерфейсе эсть?
>>
>>Есть:
>>Keepalive not set
>
>:) это его как раз нет

keepalive в моей циске может принимать значение от 0 до 32767, т.е. если поставить даже 32767 то через это время он все равно упадет.


"Состояние VPN туннеля (непонятки)"
Отправлено CrAzOiD , 12-Май-08 09:34 
>>>>keepalive на интерфейсе эсть?
>>>
>>>Есть:
>>>Keepalive not set
>>
>>:) это его как раз нет
>
>keepalive в моей циске может принимать значение от 0 до 32767, т.е.
>если поставить даже 32767 то через это время он все равно
>упадет.

что у вас в настройках криптомэпа?
типа такого есть?:
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 4608
set security-association lifetime seconds 1080


"Состояние VPN туннеля (непонятки)"
Отправлено merkoivan , 12-Май-08 09:46 
>что у вас в настройках криптомэпа?
>типа такого есть?:
>crypto dynamic-map dynmap 10
> set security-association lifetime kilobytes 4608
> set security-association lifetime seconds 1080

crypto map TUNNELMAP2 10 ipsec-isakmp
set peer 172.25.2.21
set peer 172.25.3.21
set peer 172.25.4.21
!
set transform-set TUNNEL-TRANSFORM2
match address 116
exit
!
access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
access-list 116 permit gre host 172.25.1.18 host 172.25.4.21


"Состояние VPN туннеля (непонятки)"
Отправлено KiM , 12-Май-08 12:55 
>[оверквотинг удален]
>set peer 172.25.3.21
>set peer 172.25.4.21
>!
>set transform-set TUNNEL-TRANSFORM2
>match address 116
>exit
>!
>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21

ip sla

и вообще нафиг тебе вечный тунель? у меня он отваливается но при новом обращении поднимается и нормуль.


"Состояние VPN туннеля (непонятки)"
Отправлено Алексей , 12-Май-08 15:09 
>[оверквотинг удален]
>>exit
>>!
>>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21
>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>
>ip sla
>
>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>новом обращении поднимается и нормуль.

Постоянные тунели нафиг в принципе не нужны....... только если в случае ну просто постоянного обмена трафиком между сетями...


"Состояние VPN туннеля (непонятки)"
Отправлено Алексей , 12-Май-08 15:10 
>[оверквотинг удален]
>>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21
>>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
>>
>>ip sla
>>
>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>новом обращении поднимается и нормуль.
>
>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>просто постоянного обмена трафиком между сетями...

и вообще иметь постоянный тунель вредно с точки зрения безопастности...


"Состояние VPN туннеля (непонятки)"
Отправлено KiM , 12-Май-08 15:28 
>[оверквотинг удален]
>>>
>>>ip sla
>>>
>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>>новом обращении поднимается и нормуль.
>>
>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>>просто постоянного обмена трафиком между сетями...
>
>и вообще иметь постоянный тунель вредно с точки зрения безопастности...

с точки зрения безопасности раз в месяц надо менять ключи ,а лучше и чаще. токо кому енто не лень?


"Состояние VPN туннеля (непонятки)"
Отправлено Алексей , 12-Май-08 15:50 
>[оверквотинг удален]
>>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при
>>>>новом обращении поднимается и нормуль.
>>>
>>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну
>>>просто постоянного обмена трафиком между сетями...
>>
>>и вообще иметь постоянный тунель вредно с точки зрения безопастности...
>
>с точки зрения безопасности раз в месяц надо менять ключи ,а лучше
>и чаще. токо кому енто не лень?

Да для туннелей по большому счету пофигу мне, если конечно не страдать совсем уж большой манией преследований... один все сначала прогоняется по алгоритму Диффи-Хеллмана с 1536-битовым ключом... а потом уже по aes 256... А lifetime для ассоциаций защиты у меня 900 секунд поставлен...  так что вряд ли влезут. :)