faq обучение настройка
Текущее время: Вт апр 25, 2017 09:45

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Пт дек 11, 2015 10:34 
Не в сети

Зарегистрирован: Пт дек 11, 2015 10:29
Сообщений: 3
Добрый день!
D-Link DFL-210 время от времени через VPN канал перестают ходить пакеты. При этом сам DFL доступен и мол пишет, что канал не упал.
Пинги не идут.
Приходится перезагружать его.
Что может быть?


определяем по домен контроллеру, который говорит, что домен не существует :-)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 12:15 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8067
Откуда: Москва
VPN бывает разный .... научите домен контроллер пинговать удаленную сторону по шедулеру .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 14:25 
Не в сети

Зарегистрирован: Пт дек 11, 2015 10:29
Сообщений: 3
IPSec канал между DFL-210 и DFL-860e, в статусе IPSec канал активный.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 14:38 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 7675
Откуда: Москва
Ответ Вам уже дали.

_________________
С уважением, Matrox.
CheckPoint, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 14:46 
Не в сети

Зарегистрирован: Пт дек 11, 2015 10:29
Сообщений: 3
И что это даст? Канал от этого не заработает, пакеты ходит не начнут :(


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 14:58 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 6794
Откуда: Екатеринбург
сделайте в IPsec с обоих сторон plain MTU = 2000

И ответ вам дали полезный. IPsec с постоянной нагрузкой не отвалится из-за бездействия.

_________________
6 xDFL-210, 2 xDFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). Скачать.
Совет: Не используйте в IP-правилах и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 16:19 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8067
Откуда: Москва
а в ИПСЕКЕ вообще есть параметр KeepAlive - его можно включить , и забыть про все .
кстати он ради этого и придуман ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 15, 2015 02:16 
Не в сети

Зарегистрирован: Пн апр 28, 2014 15:38
Сообщений: 218
YuriAM писал(а):
IPsec с постоянной нагрузкой не отвалится из-за бездействия.
На самом деле не совсем так. По крайней мере если считать нагрузкой в филиале пяток sip-телефонов, зареганых на станции в центре + пакета из десятка пингов каждые 10 минут из центра на филиал.
Наиболее эффектным было "лечение" с заменой IKE Aggressive mode на main mode - по крайней мере тогда каналы подвисали реже чем раз в несколько месяцев.

Vladimir22 писал(а):
а в ИПСЕКЕ вообще есть параметр KeepAlive - его можно включить , и забыть про все .кстати он ради этого и придуман
Увы... не спасало (


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 15, 2015 06:43 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8067
Откуда: Москва
У меня уже год ипсек и ни какого зависона нет...может восмотреть пристальней на среду передачи?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 15, 2015 23:10 
Не в сети

Зарегистрирован: Пн апр 28, 2014 15:38
Сообщений: 218
Vladimir22 писал(а):
У меня уже год ипсек и ни какого зависона нет...может восмотреть пристальней на среду передачи?
Собственно там было сред передачи - множество. В виде больших офисов на очень качественных каналах и кучки офисов-сателлитов с разного качества каналами (от тоже надежных симметричных до 15-км радиорелейки на болтающемя 14-метровом "телескопе" и даже домашнего PONа в соседней стране) . Притом каждый офис-сателлит был подвязан как минимум с парой основных офисов.

Типичная картина: звонок о траблах офиса "С", не могущего достучаться до офиса "B"... тыркаюсь из офиса "А" и тут все варианты доступности офисов ВС их А -))

А в итоге выглядит так: начинают "замерзать" каналы, например вначале B-C, спустя минуты-часы - В-A и так постепенно по нарастающей... притом достаточно ощутимое время каналы устойчивы и даже при кратковременных траблах у провайдеров - восстанавливаются успешно, а иногда - распространяющийся процесс "замерзания". Притом в логах все пристойно, просто пакеты не идут и все....

Варианты купирования - например переконфигурить что-нить малозначительное у соответствующего IPsec (например на 1 секунду изменить IKE или IPSEC lifetime) и каналы восстанавливаются, но очередная заморозка наступает пораньше... ежели ребутнуть девайс - то заморозка откладывается надолго.

Из более редкого - ребут удаленного офиса приводит к восстановлению одного из каналов, а второй оказывается "замерз с другой стороны"...


И еще раз повторюсь - в логах ничего подозрительного...


Какой-то корреляции между 210-260-800-860 и латентностью и устойчивостью каналов - не замечено. То есть островной филиал с лучшими пингами может пережить канал между парой дочек Ростелекома (4-5 хопов) и наоборот...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 08:35 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8067
Откуда: Москва
тут только к хрустальным шарам .......

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 13:00 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 6794
Откуда: Екатеринбург
пока без хрустящих, т.е хрустальных, шаров сделайте MTU=2000 на всех IPsec

_________________
6 xDFL-210, 2 xDFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). Скачать.
Совет: Не используйте в IP-правилах и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 13:25 
Не в сети

Зарегистрирован: Вт фев 13, 2007 12:39
Сообщений: 128
Откуда: Saint-Petersburg
может быть, просто организовать ospf с мониторингом маршрутов и keep-alive туннелей? соединить каждый филиал с парой других туннелями, а дальше выставить правильную стоимость маршрутов.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 19:14 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 6794
Откуда: Екатеринбург
SteveSmith писал(а):
может быть, просто организовать ospf с мониторингом маршрутов и keep-alive туннелей? соединить каждый филиал с парой других туннелями, а дальше выставить правильную стоимость маршрутов.

DFL-210/260/260E не умеют OSPF

_________________
6 xDFL-210, 2 xDFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). Скачать.
Совет: Не используйте в IP-правилах и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 02:14 
Не в сети

Зарегистрирован: Пн апр 28, 2014 15:38
Сообщений: 218
Vladimir22 писал(а):
тут только к хрустальным шарам .......
Бубен - наше все =)
Кстати результат приносит иногда быстрее научного подхода -))

YuriAM писал(а):
пока без хрустящих, т.е хрустальных, шаров сделайте MTU=2000 на всех IPsec
В моем случае в качестве бубна пришлось бы пробовать поменять MTU с 2000 на что-нибудь другое -)

YuriAM писал(а):
DFL-210/260/260E не умеют OSPF
Да еще плюс мониторинг, если мой склероз и лень не врут, позволяет мониторить только физику...


p/s/ из относительно свежего, но пока однократного: DFL PPTP клиентом к серверу на 2008r2 аналогичным образом "замерз" на пару выходных, а я был в этот момент не с той стороны и смог только попросить ребутнуть dfl не глядя в логи и статусы.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB