faq обучение настройка
Текущее время: Вс авг 18, 2019 18:46

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Пн дек 05, 2016 14:08 
Не в сети

Зарегистрирован: Чт авг 18, 2016 11:01
Сообщений: 16
Проблема в следующем: Две железки DFL-860E с одинаковыми прошивками, между ними настроен ipsec!

Всё работает замечательно, за исключение одного, примерно раз в час рвется ipsec на секунд 10 (если по пингам считать, то не проходит 6 пингов) и он снова восстанавливается

Вопрос: как этого избежать?

В логах следующая ошибка:

2016-12-05
13:58:37 Info IPSEC
1800908 ipsec_sa_rekeyed
ipsec_if=LT local_ip=X.X.X.X remote_ip=Y.Y.Y.Y cfgmode_ip= esp_spi_in=0xfa3963d8 esp_spi_out=0x25aad179 old_spi=0x9d1583f7 ike_spi_i=0xbe2b4571611143bb ike_spi_r=0xb8b6de4655636a81 esp_cipher=aes-cbc esp_cipher_keysize=0 esp_mac=hmac-md5-96 esp_mac_keysize=0 life_seconds=3600 life_kilobytes=0 imsi="" initiator=FALSE dh_group=2 dh_bits=1024 local_ts="192.168.220.0/24" remote_ts="192.168.115.0/24"


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 10:15 
Не в сети

Зарегистрирован: Чт авг 18, 2016 11:01
Сообщений: 16
Что нет ни у кого идей?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 11:15 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8496
Откуда: Москва
yakushenko писал(а):
Что нет ни у кого идей?
На Форуме телепатов нет. Узрить Вашу конфигурацию некому, а показать настройки Вы но соизволили.


У Вас в логах четко написано: ipsec_sa_rekeyed

Смотрите в сторону полей lifetime для фаз IKE и IPSec.
Вы там что-нибудь меняли относительно стандартных значений?

"Периодически рвется на 10 сек" - для пересогласования алгоритмов и ключей.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Пн дек 12, 2016 11:24, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 11:22 
Не в сети

Зарегистрирован: Чт июн 28, 2012 09:45
Сообщений: 5859
life_seconds=3600 - оно?

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 11:36 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7172
Откуда: Екатеринбург
попробуйте еще настроить на обоих рутерах автоматическую коррекцию времени.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 15:41 
Не в сети

Зарегистрирован: Чт авг 18, 2016 11:01
Сообщений: 16
MTRX писал(а):
yakushenko писал(а):
Что нет ни у кого идей?
На Форуме телепатов нет. Узрить Вашу конфигурацию некому, а показать настройки Вы но соизволили.


У Вас в логах четко написано: ipsec_sa_rekeyed

Смотрите в сторону полей lifetime для фаз IKE и IPSec.
Вы там что-нибудь меняли относительно стандартных значений?

"Периодически рвется на 10 сек" - для пересогласования алгоритмов и ключей.


IKE Lifetime - 28800
IPsec Lifetime: 3600
IPsec Lifetime: 0 kilobytes
С двух сторон одно и тоже, что будет если я время жизни ipsec увеличу?

Может это и оно, но проблема в следующем, т.к. по данному каналу "бегает" телефония, разрыв связи даже на 10 сек доставляет очень много проблем!


Вложения:
Снимок.JPG
Снимок.JPG [ 19.11 KiB | Просмотров: 2087 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 15:42 
Не в сети

Зарегистрирован: Чт авг 18, 2016 11:01
Сообщений: 16
YuriAM писал(а):
попробуйте еще настроить на обоих рутерах автоматическую коррекцию времени.


ntp сервер один и тот же установлен с двух сторон, время одинковое секунду в секунду


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 15:45 
Не в сети

Зарегистрирован: Чт авг 18, 2016 11:01
Сообщений: 16
СергейП писал(а):
life_seconds=3600 - оно?


да оно, если увеличу что будет?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 12, 2016 17:52 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8496
Откуда: Москва
yakushenko писал(а):
IKE Lifetime - 28800
IPsec Lifetime: 3600
IPsec Lifetime: 0 kilobytes
С двух сторон одно и тоже, что будет если я время жизни ipsec увеличу?
Оставьте как есть.

Я не склонен винить в проблеме тоннель. DFL'ка обычно хорошо держит тоннели.

1. Какова загрузка процессора в моменты срыва тоннеля? Если стоит AES, то может стоит снизить шифрование до 3DES-MD5-SHA1.
2. При срыве тоннеля прерывается ли доступ в Интернет? Если да, то сами понимаете - дело не в настройках тоннеля и не в DFL-ках в принципе. Возможно оборудование оператора скачет.
3. Имеется ли резервирование канала Интернет? Если да, то как реализован мониторинг ? По времени очень похоже на переключение на резервный канал и обратно.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт мар 30, 2017 13:29 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
между двумя 870 - ситуация ровно такая же

ровно раз в час рвется IPSEC на ipsec_sa_rekeyed на 6 секунд. Интернет не прерывается, связь устойчивая, но 6 пингов на ipsec_sa_rekeyed - связи внутри тоннеля нет

одно но - авторизация идет по сертификатам. на тоннелях с PSK, вроде как пока такого не видел. Переведу сейчас тоннель на PSK, проверю


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт мар 30, 2017 15:29 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8496
Откуда: Москва
Любопытно...

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot], Google [Bot] и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB