The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec и обрыв соеденения."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"IPSec и обрыв соеденения."  
Сообщение от VAMPiR email(ok) on 25-Июн-08, 16:53 
Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco 1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя внутреняя сетка которая пускается в мою сеть и работает с ней, есть одно но, если есть окно простоя канала (20-30 минут) тунель падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает, однако ни пинг ни что либо иное в сторону клиента не идет пока не сделать запрос с той стороны в мою сеть (допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? Заранее спасибо за любую помощь.
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec и обрыв соеденения."  
Сообщение от SergTel email(ok) on 25-Июн-08, 17:16 
>Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение
>между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco
>1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя
>внутреняя сетка которая пускается в мою сеть и работает с ней,
>есть одно но, если есть окно простоя канала (20-30 минут) тунель
>падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает,
>однако ни пинг ни что либо иное в сторону клиента не
>идет пока не сделать запрос с той стороны в мою сеть
>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>Заранее спасибо за любую помощь.

а конфиги глянуть можно?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSec и обрыв соеденения."  
Сообщение от ilya (ok) on 26-Июн-08, 09:47 
>Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение
>между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco
>1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя
>внутреняя сетка которая пускается в мою сеть и работает с ней,
>есть одно но, если есть окно простоя канала (20-30 минут) тунель
>падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает,
>однако ни пинг ни что либо иное в сторону клиента не
>идет пока не сделать запрос с той стороны в мою сеть
>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>Заранее спасибо за любую помощь.

смотреть в сторону временных параметров (задаются в криптомапе)
set security-association lifetime seconds
set security-association idle-time

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSec и обрыв соеденения."  
Сообщение от VAMPiR email(??) on 26-Июн-08, 11:23 
>[оверквотинг удален]
>>есть одно но, если есть окно простоя канала (20-30 минут) тунель
>>падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает,
>>однако ни пинг ни что либо иное в сторону клиента не
>>идет пока не сделать запрос с той стороны в мою сеть
>>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>>Заранее спасибо за любую помощь.
>
>смотреть в сторону временных параметров (задаются в криптомапе)
> set security-association lifetime seconds
> set security-association idle-time

Это я знаю... игрался но не помогло ( Бесконечность можно задать ими как-то? )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSec и обрыв соеденения."  
Сообщение от SergTel email(??) on 26-Июн-08, 14:41 
>[оверквотинг удален]
>>>идет пока не сделать запрос с той стороны в мою сеть
>>>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>>>Заранее спасибо за любую помощь.
>>
>>смотреть в сторону временных параметров (задаются в криптомапе)
>> set security-association lifetime seconds
>> set security-association idle-time
>
>Это я знаю... игрался но не помогло ( Бесконечность можно задать ими
>как-то? )

Создай не динамический, а статический туннель и шифруй данные проходящие по нему.
таким образом избежишь проблем. Как альтернатива запускать процесс посыла icmp пакетов через тайм-аут


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPSec и обрыв соеденения."  
Сообщение от VAMPiR email(??) on 26-Июн-08, 15:01 
>[оверквотинг удален]
>>> set security-association lifetime seconds
>>> set security-association idle-time
>>
>>Это я знаю... игрался но не помогло ( Бесконечность можно задать ими
>>как-то? )
>
>Создай не динамический, а статический туннель и шифруй данные проходящие по нему.
>
>таким образом избежишь проблем. Как альтернатива запускать процесс посыла icmp пакетов через
>тайм-аут

Никогда их неделал ( а есть сылочки на примеры и описание?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPSec и обрыв соеденения."  
Сообщение от SergTel email(ok) on 27-Июн-08, 09:19 
>
>Никогда их неделал ( а есть сылочки на примеры и описание?

на что конкретно?
как туннель создать или как пакеты слать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPSec и обрыв соеденения."  
Сообщение от VAMPiR email(??) on 27-Июн-08, 11:13 
>>
>>Никогда их неделал ( а есть сылочки на примеры и описание?
>
>на что конкретно?
>как туннель создать или как пакеты слать?

Создание тунеля с отправкой шифрованных данных.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPSec и обрыв соеденения."  
Сообщение от SergTel email(ok) on 27-Июн-08, 11:48 
>>>
>>>Никогда их неделал ( а есть сылочки на примеры и описание?
>>
>>на что конкретно?
>>как туннель создать или как пакеты слать?
>
>Создание тунеля с отправкой шифрованных данных.

все просто поднимаешь интерфейс туннель
адрес самого интерфейса
адрес начала туннеля
адрес конца туннеля
MTU
и прикручиваешь криптокарту
пример и описание:
http://www.cisco.com/en/US/docs/ios/12_2/interface/configura...

если есть динамика то адрес конца туннеля надо прописать статикой как хост через интерфейс
иначе при поднятии маршрута туннель будет падать т.к. появиться рекурсия

Вот пример моего кусочка конфига с 2620xm пашет уже 2 года

делал чтоб пробросить коммерческие данные

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map CMAP_3 1 ipsec-isakmp
description Tunnel to Vodozabor
set peer 192.168.88.177
set transform-set ESP-3DES-SHA
match address 100
!
!
!        
!
interface Null0
no ip unreachables
!
interface Tunnel0
bandwidth 2000
ip address 192.168.56.174 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1420
ip route-cache flow
ip tcp adjust-mss 1360
tunnel source FastEthernet0/0.4
tunnel destination 192.168.88.177
crypto map CMAP_3


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру