https://slinkov.ru/openforum/vsluhforumID6/16593.html Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco 1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя внутреняя сетка которая пускается в мою сеть и работает с ней, есть одно но, если есть окно простоя канала (20-30 минут) тунель падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает, однако ни пинг ни что либо иное в сторону клиента не идет пока не сделать запрос с той стороны в мою сеть (допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? Заранее спасибо за любую помощь.<br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#8 Fri, 27 Jun 2008 07:48:24 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;Никогда их неделал ( а есть сылочки на примеры и описание? <br>&gt;&gt;<br>&gt;&gt;на что конкретно? <br>&gt;&gt;как туннель создать или как пакеты слать? <br>&gt;<br>&gt;Создание тунеля с отправкой шифрованных данных. <br><br>все просто поднимаешь интерфейс туннель<br>адрес самого интерфейса <br>адрес начала туннеля<br>адрес конца туннеля <br>MTU<br>и прикручиваешь криптокарту<br>пример и описание:<br>http://www.cisco.com/en/US/docs/ios/12_2/interface/configuration/guide/icflogin.html#wp1031768<br><br>если есть динамика то адрес конца туннеля надо прописать статикой как хост через интерфейс<br>иначе при поднятии маршрута туннель будет падать т.к. появиться рекурсия<br><br>Вот пример моего кусочка конфига с 2620xm пашет уже 2 года<br><br>делал чтоб пробросить коммерческие данные <br> <br>crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac <br>!<br>crypto map CMAP_3 1 ipsec-isakmp <br> description Tunnel to Vodozabor<br> set peer 192.168.88.177<br> set transform-set ESP-3DES-SHA <br> match address 100<br>!<br>!<br>! <br>!<br>interface Null0<br> no ip unreachables<br>!<br>interface https://slinkov.ru/openforum/vsluhforumID6/16593.html#7 Fri, 27 Jun 2008 07:13:03 GMT &gt;&gt;<br>&gt;&gt;Никогда их неделал ( а есть сылочки на примеры и описание? <br>&gt;<br>&gt;на что конкретно? <br>&gt;как туннель создать или как пакеты слать? <br><br>Создание тунеля с отправкой шифрованных данных.<br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#6 Fri, 27 Jun 2008 05:19:04 GMT &gt;<br>&gt;Никогда их неделал ( а есть сылочки на примеры и описание? <br><br>на что конкретно?<br>как туннель создать или как пакеты слать?<br><br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#5 Thu, 26 Jun 2008 11:01:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; set security-association lifetime seconds <br>&gt;&gt;&gt; set security-association idle-time <br>&gt;&gt;<br>&gt;&gt;Это я знаю... игрался но не помогло ( Бесконечность можно задать ими <br>&gt;&gt;как-то? ) <br>&gt;<br>&gt;Создай не динамический, а статический туннель и шифруй данные проходящие по нему. <br>&gt;<br>&gt;таким образом избежишь проблем. Как альтернатива запускать процесс посыла icmp пакетов через <br>&gt;тайм-аут <br><br>Никогда их неделал ( а есть сылочки на примеры и описание?<br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#4 Thu, 26 Jun 2008 10:41:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;идет пока не сделать запрос с той стороны в мою сеть <br>&gt;&gt;&gt;(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? <br>&gt;&gt;&gt;Заранее спасибо за любую помощь. <br>&gt;&gt;<br>&gt;&gt;смотреть в сторону временных параметров (задаются в криптомапе) <br>&gt;&gt; set security-association lifetime seconds <br>&gt;&gt; set security-association idle-time <br>&gt;<br>&gt;Это я знаю... игрался но не помогло ( Бесконечность можно задать ими <br>&gt;как-то? ) <br><br>Создай не динамический, а статический туннель и шифруй данные проходящие по нему.<br>таким образом избежишь проблем. Как альтернатива запускать процесс посыла icmp пакетов через тайм-аут<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#3 Thu, 26 Jun 2008 07:23:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;есть одно но, если есть окно простоя канала (20-30 минут) тунель <br>&gt;&gt;падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает, <br>&gt;&gt;однако ни пинг ни что либо иное в сторону клиента не <br>&gt;&gt;идет пока не сделать запрос с той стороны в мою сеть <br>&gt;&gt;(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? <br>&gt;&gt;Заранее спасибо за любую помощь. <br>&gt;<br>&gt;смотреть в сторону временных параметров (задаются в криптомапе) <br>&gt; set security-association lifetime seconds <br>&gt; set security-association idle-time <br><br>Это я знаю... игрался но не помогло ( Бесконечность можно задать ими как-то? )<br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#2 Thu, 26 Jun 2008 05:47:39 GMT &gt;Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение <br>&gt;между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco <br>&gt;1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя <br>&gt;внутреняя сетка которая пускается в мою сеть и работает с ней, <br>&gt;есть одно но, если есть окно простоя канала (20-30 минут) тунель <br>&gt;падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает, <br>&gt;однако ни пинг ни что либо иное в сторону клиента не <br>&gt;идет пока не сделать запрос с той стороны в мою сеть <br>&gt;(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? <br>&gt;Заранее спасибо за любую помощь. <br><br>смотреть в сторону временных параметров (задаются в криптомапе)<br> set security-association lifetime seconds <br> set security-association idle-time <br><br> https://slinkov.ru/openforum/vsluhforumID6/16593.html#1 Wed, 25 Jun 2008 13:16:36 GMT &gt;Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение <br>&gt;между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco <br>&gt;1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя <br>&gt;внутреняя сетка которая пускается в мою сеть и работает с ней, <br>&gt;есть одно но, если есть окно простоя канала (20-30 минут) тунель <br>&gt;падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает, <br>&gt;однако ни пинг ни что либо иное в сторону клиента не <br>&gt;идет пока не сделать запрос с той стороны в мою сеть <br>&gt;(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? <br>&gt;Заранее спасибо за любую помощь. <br><br>а конфиги глянуть можно?<br><br><br>