faq обучение настройка
Текущее время: Вс дек 16, 2018 09:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 256 ]  На страницу Пред.  1 ... 9, 10, 11, 12, 13, 14, 15 ... 18  След.
Автор Сообщение
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт мар 30, 2017 19:12 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8354
Откуда: Москва
terebizh писал(а):
Похоже, проблема в используемых AES или SHA, так как на тех же самых роутерах другие тоннели, которые используют более слабые методы шифрования (так как связаны с более старыми железками) - висят неделями без сбоев.
На других тоннелях в логах rekeyed есть, но он не занимает по 6 секунд с потерей коннектов.
Попробую постепенно снижать используемые уровни шифрования
У Вас железки слишком долго снюхиваются при перерегистрации ключа, потому что, вероятно, у них есть выбор по вариантам.
Они их перебирают, переспрашивают друг у друга, и теряют на это время.
Диалог примерно такой:
- Я умею работать на таком-то шифровании. А ты умеешь?
- Нет, не умею. А давай попробуем такой. Годится?
- Да, годится. Но давай посмотрим более защищенный алгоритм. Вот такой.
- Давай. Хм... Не, не умею. давай обратно откатимся
- Хрен с тобой, давай.
- Погнали?
- Погнали!


И наконец, снюхиваются.

Оставьте только один вариант, например, AES128-SHA1 на обоих железках, других галочек не ставьте.

- Я умею работать только на таком-то шифровании. А ты умеешь?
- Да, умею. Без вариантов. Погнали!
- Погнали!

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт мар 30, 2017 20:59 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
бред какой-то

у меня два 870 и один 860, все три связаны друг с другом

870 - 860 - IPsec стоит как влитой, никаких обрывов (2 тоннеля)
870 - 870 - IPsec с такими же параметрами тоннеля и теми же методами шифрования - падает на 6 секунд каждый 3600 сек

до этого 3 месяца один из 870 держал IPsec вместо 870 с 860 - и никаких обрывов. только перевел его на 870 - и на тебе. опять засада какая-то.

благо, не ввел тоннель в рабочий режим, могу как угодно гонять и менять параметры.

Но с движком IPsec у 870 что-то не то.
Трижды уже ловил совершенно непонятные баги и потери тоннеля (не коннектится и все тут, хотя три месца подряд раьотало все как часы) на стороне 870, лечилось обычно простым перезапуском конфига


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт мар 30, 2017 21:02 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
MTRX писал(а):
Оставьте только один вариант, например, AES128-SHA1 на обоих железках, других галочек не ставьте.

- Я умею работать только на таком-то шифровании. А ты умеешь?
- Да, умею. Без вариантов. Погнали!
- Погнали!


вот именно так сейчас и стоит.

870 vs 870 - падает на 6 секунд. тот же 870 vs 860 - никаких долгих занюхиваний, все мгновенно.

на одном и том же канале.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт мар 30, 2017 22:12 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8354
Откуда: Москва
Ну... Значит есть какой-то косяк в 870.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт мар 30, 2017 22:53 
Не в сети

Зарегистрирован: Пн июл 11, 2016 22:35
Сообщений: 103
на 870-м однозначно остались косяки с IPSec.
У меня, например, не работает маршрут после переключения IPSec на резервный канал (WAN1) на 870-м. Тоннель поднимается, но маршруты не работают.. несколько раз передергиваешь конфигурацию и 870-й уходит в ребут. После этого всё прекрасно работает..


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт мар 31, 2017 10:48 
Не в сети

Зарегистрирован: Пн июл 11, 2016 22:35
Сообщений: 103
Сегодня просто ни с того ни с сего перестали ходить трафик внутри одного из IPSec туннелей.. По другим - никаких проблем. При этом, ничего не менялось уже много дней, не перегружалось, не отваливалось.. просто в какой-то момент перестал ходить трафик и всё... Перегрузил DFL-870 - всё тут же заработало.
Короче, сырая еще прошивка 11.10, ой сырая((


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт мар 31, 2017 12:17 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
сменил life time c 3600 на 300 - чтобы при экспериментах с параметрами тоннеля не ждать по часу этих самых перерывов связи - и упс! Рекеинг проходит без потерь

Раз в 5 минут, никаких разрывов, никаких задержек, при любых параметрах и методах шифрования - все стабильно и прозрачно, "ни одного разрыва" (с)

продолжаю наблюдать за чудесами дальше, постепенно верну life time назад


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт мар 31, 2017 13:33 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7124
Откуда: Екатеринбург
- У меня прошло 3600 секунд. Обновим ключи?
- Ты сдурел? У меня прошло 3599. Че стучишь раньше времени? А может ты хакер из ЦРУ?
- Никакой я не хакер. Я - белый и пушистый твой друг.
- Все вы так говорите!
...
прошло 6 секунд
...
- Я устал с тобой препираться.
- Я тоже. Похоже с тобой можно договориться. Обновляем.


******************************************************

- У меня прошло 300 секунд. Обновим ключи?
- И у меня 300. Зашибись! Обновляем.
- Мы крутые. А эти ламеры на форуме ни хрена не знают!


8) :D

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт мар 31, 2017 14:10 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8798
Откуда: Москва
YuriAM писал(а):
- У меня прошло 3600 секунд. Обновим ключи?
- Ты сдурел? У меня прошло 3599. Че стучишь раньше времени? А может ты хакер из ЦРУ?
- Никакой я не хакер. Я - белый и пушистый твой друг.
- Все вы так говорите!
...
прошло 6 секунд
...
- Я устал с тобой препираться.
- Я тоже. Похоже с тобой можно договориться. Обновляем.


******************************************************

- У меня прошло 300 секунд. Обновим ключи?
- И у меня 300. Зашибись! Обновляем.
- Мы крутые. А эти ламеры на форуме ни хрена не знают!


8) :D


ЖЖОШ !!!!!!!!!!!!!!!!!!!!!!!!!!!
теперь мы знаем кто у нас
хакер с цру вот , кто подслушивает нас ... Он засланный казачек от Яровой ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт мар 31, 2017 15:04 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8354
Откуда: Москва
Изображение

Юр, 5 баллов!

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт мар 31, 2017 22:00 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
YuriAM писал(а):
- У меня прошло 300 секунд. Обновим ключи?
- И у меня 300. Зашибись! Обновляем.
- Мы крутые. А эти ламеры на форуме ни хрена не знают!


8) :D


Если бы :):):)

на 300 тоже, за день пару раз залипало и рвалось на 6 секунд. Блин.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Вт апр 04, 2017 19:18 
Не в сети

Зарегистрирован: Пн июл 11, 2016 22:35
Сообщений: 103
Блин, честно говоря, начинает доставать ситуация с IPSec. Раз в несколько дней перестают ходить трафик по туннелю.
Причем, туннель на DFL-870 висит в "поднятом" состоянии.. Но трафик не ходит. Помогает только перезагрузка DFL-870(( После перезагрузки всё сразу поднимается и летает.. через несколько дней опять такая фигня(((


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Вт апр 04, 2017 20:51 
Не в сети

Зарегистрирован: Пн июл 11, 2016 22:35
Сообщений: 103
Посмотрел логи. Выяснилось, что эти моменты связаны с переключением туннеля с основного на резервный маршрут.
Причем, даже после возврата на основной маршрут, траффик всё-равно не ходит. Пока не перезагрузишь.
Когда уже спецы DLink'а допилят прошивку нормально?((


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Ср апр 05, 2017 05:57 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8354
Откуда: Москва
Так получается, проблема с тоннелем не в железке или прошивке, а в неправильной настройке мониторинга канала?
Выясняйте, почему каналы падают и переключаются.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Ср апр 05, 2017 12:15 
Не в сети

Зарегистрирован: Пн июл 11, 2016 22:35
Сообщений: 103
Причем тут мониторинг канала и неработающие маршруты??
Канал падает, потому что была авария у промежуточного провайдера. Маршрут переключился у меня на резервный (с WAN2 на WAN1). Всё нормально отработало!
Только, вот, после переключения на резервный маршрут, туннель вроде есть, а трафика в туннеле - нет. Если конфигурацию после переключения несколько раз "дергать" меняя какие-нибудь незначительные настройки (хоть новый хост добавить в объектах), в итоге DFL подвисает и перегружается сам. После чего, всё прекрасно работает и на резервном канале! Если не "дергать" - так и будет "не работать". И уже не важно, вернулся маршрут на основной, или нет.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 256 ]  На страницу Пред.  1 ... 9, 10, 11, 12, 13, 14, 15 ... 18  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB