форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Состояние VPN туннеля (непонятки)"

Сообщение от merkoivan (??) on 12-Май-08, 08:05

Добрый день! у меня такая ситуация: Между двумя цисками установлен vpn, интерфейсы (Tunnel) всегда в состоянии Up. Когда долго пакеты между цисками не ходят лампочки на цисках тухнут, но при этом Tunnel в состоянии Up. Затем когда делаешь пинг с одного VPN Tunnel'я на другой первый пакет теряется, потом загорается лампочка на циске (vpn) и остальные пакеты проходят нормально. После всего этого лампочка горит, но через некоторое время простоя опять тухнет. Подскажите пожалуйста это так и должно быть или есть способ заставить всегда держать соединение (хотя соединение вроде есть, но при следующем пинге первый пакет опять теряется)? Извиняюсь за каламбур. Заранее благодарю за советы

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Состояние VPN туннеля (непонятки)"

Сообщение от Axis (ok) on 12-Май-08, 08:43

Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика. Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Состояние VPN туннеля (непонятки)"
	Сообщение от merkoivan (??) on 12-Май-08, 09:12
	>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика. >Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая >есть. А как эта опция может называться?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Состояние VPN туннеля (непонятки)"
	Сообщение от fantom (ok) on 12-Май-08, 09:12
	>Посмотри наверное стоит где нибудь опция держать VPN только при присутствии трафика. >Наверняка есть опция держать VPN постоянно. Например на D-Link фитча такая >есть. keepalive на интерфейсе эсть?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Состояние VPN туннеля (непонятки)"
	Сообщение от merkoivan (??) on 12-Май-08, 09:15
	>keepalive на интерфейсе эсть? Есть: Keepalive not set
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Состояние VPN туннеля (непонятки)"
	Сообщение от CrAzOiD (ok) on 12-Май-08, 09:19
	>>keepalive на интерфейсе эсть? > >Есть: >Keepalive not set :) это его как раз нет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Состояние VPN туннеля (непонятки)"
	Сообщение от merkoivan (??) on 12-Май-08, 09:25
	>>>keepalive на интерфейсе эсть? >> >>Есть: >>Keepalive not set > >:) это его как раз нет keepalive в моей циске может принимать значение от 0 до 32767, т.е. если поставить даже 32767 то через это время он все равно упадет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Состояние VPN туннеля (непонятки)"
	Сообщение от CrAzOiD (ok) on 12-Май-08, 09:34
	>>>>keepalive на интерфейсе эсть? >>> >>>Есть: >>>Keepalive not set >> >>:) это его как раз нет > >keepalive в моей циске может принимать значение от 0 до 32767, т.е. >если поставить даже 32767 то через это время он все равно >упадет. что у вас в настройках криптомэпа? типа такого есть?: crypto dynamic-map dynmap 10 set security-association lifetime kilobytes 4608 set security-association lifetime seconds 1080
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Состояние VPN туннеля (непонятки)"
	Сообщение от merkoivan (??) on 12-Май-08, 09:46
	>что у вас в настройках криптомэпа? >типа такого есть?: >crypto dynamic-map dynmap 10 > set security-association lifetime kilobytes 4608 > set security-association lifetime seconds 1080 crypto map TUNNELMAP2 10 ipsec-isakmp set peer 172.25.2.21 set peer 172.25.3.21 set peer 172.25.4.21 ! set transform-set TUNNEL-TRANSFORM2 match address 116 exit ! access-list 116 permit gre host 172.25.1.18 host 172.25.2.21 access-list 116 permit gre host 172.25.1.18 host 172.25.3.21 access-list 116 permit gre host 172.25.1.18 host 172.25.4.21
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Состояние VPN туннеля (непонятки)"
	Сообщение от KiM on 12-Май-08, 12:55
	>[оверквотинг удален] >set peer 172.25.3.21 >set peer 172.25.4.21 >! >set transform-set TUNNEL-TRANSFORM2 >match address 116 >exit >! >access-list 116 permit gre host 172.25.1.18 host 172.25.2.21 >access-list 116 permit gre host 172.25.1.18 host 172.25.3.21 >access-list 116 permit gre host 172.25.1.18 host 172.25.4.21 ip sla и вообще нафиг тебе вечный тунель? у меня он отваливается но при новом обращении поднимается и нормуль.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Состояние VPN туннеля (непонятки)"
	Сообщение от Алексей (??) on 12-Май-08, 15:09
	>[оверквотинг удален] >>exit >>! >>access-list 116 permit gre host 172.25.1.18 host 172.25.2.21 >>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21 >>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21 > >ip sla > >и вообще нафиг тебе вечный тунель? у меня он отваливается но при >новом обращении поднимается и нормуль. Постоянные тунели нафиг в принципе не нужны....... только если в случае ну просто постоянного обмена трафиком между сетями...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Состояние VPN туннеля (непонятки)"
	Сообщение от Алексей (??) on 12-Май-08, 15:10
	>[оверквотинг удален] >>>access-list 116 permit gre host 172.25.1.18 host 172.25.3.21 >>>access-list 116 permit gre host 172.25.1.18 host 172.25.4.21 >> >>ip sla >> >>и вообще нафиг тебе вечный тунель? у меня он отваливается но при >>новом обращении поднимается и нормуль. > >Постоянные тунели нафиг в принципе не нужны....... только если в случае ну >просто постоянного обмена трафиком между сетями... и вообще иметь постоянный тунель вредно с точки зрения безопастности...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Состояние VPN туннеля (непонятки)"
	Сообщение от KiM on 12-Май-08, 15:28
	>[оверквотинг удален] >>> >>>ip sla >>> >>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при >>>новом обращении поднимается и нормуль. >> >>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну >>просто постоянного обмена трафиком между сетями... > >и вообще иметь постоянный тунель вредно с точки зрения безопастности... с точки зрения безопасности раз в месяц надо менять ключи ,а лучше и чаще. токо кому енто не лень?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Состояние VPN туннеля (непонятки)"
	Сообщение от Алексей (??) on 12-Май-08, 15:50
	>[оверквотинг удален] >>>>и вообще нафиг тебе вечный тунель? у меня он отваливается но при >>>>новом обращении поднимается и нормуль. >>> >>>Постоянные тунели нафиг в принципе не нужны....... только если в случае ну >>>просто постоянного обмена трафиком между сетями... >> >>и вообще иметь постоянный тунель вредно с точки зрения безопастности... > >с точки зрения безопасности раз в месяц надо менять ключи ,а лучше >и чаще. токо кому енто не лень? Да для туннелей по большому счету пофигу мне, если конечно не страдать совсем уж большой манией преследований... один все сначала прогоняется по алгоритму Диффи-Хеллмана с 1536-битовым ключом... а потом уже по aes 256... А lifetime для ассоциаций защиты у меня 900 секунд поставлен...  так что вряд ли влезут. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]