D-Link • Просмотр темы - VPN DI-804HV и FreeSWAN. Можно ли это назвать работой?

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

VPN DI-804HV и FreeSWAN. Можно ли это назвать работой?

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 3 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Serge Kosachiov

Заголовок сообщения: VPN DI-804HV и FreeSWAN. Можно ли это назвать работой?

Добавлено: Вс фев 29, 2004 18:06

Зарегистрирован: Вс фев 29, 2004 17:49
Сообщений: 1

Redhat 8.0, FreeSWAN 2.05, DI-804HV (1.34)

cat /etc/ipsec.conf:
conn First
authby=secret
keylife=3600s
ikelifetime=3600s
keyingtries=99
..........
auto=start

==================================

Канал появляется.

1. Перезагрузка DI-804HV приводит к пропаданию соединения. Восстановить соединение удается только, перезапустив FreeSWAN.

2. Перезагрузка FreeSWAN при работающем VPN также приводит к пропаданию соединения. Для восстановления канала сначала нужно перезапустить DI-804HV, а потом FreeSWAN!

Можно ли это назвать работой?
Коллеги, кто-нибудь использует DI-804HV и FreeSWAN для серъезных соединений?

Спасибо, если будут комментарии,
Сергей

Вернуться наверх

Гость

Заголовок сообщения: Re: VPN DI-804HV и FreeSWAN. Можно ли это назвать работой?

Добавлено: Пн мар 01, 2004 10:42

Serge Kosachiov писал(а):

Канал появляется.

1. Перезагрузка DI-804HV приводит к пропаданию соединения. Восстановить соединение удается только, перезапустив FreeSWAN.

2. Перезагрузка FreeSWAN при работающем VPN также приводит к пропаданию соединения. Для восстановления канала сначала нужно перезапустить DI-804HV, а потом FreeSWAN!

Можно ли это назвать работой?
Коллеги, кто-нибудь использует DI-804HV и FreeSWAN для серъезных соединений?

Спасибо, если будут комментарии,
Сергей

Неплохо читать форум прежде, чем задавать подобные вопросы (стандарты кстати тоже :wink:

)
Стандарт IPSec НЕ ПОДДЕРЖИВАЕТ контроль за состоянием туннеля. Если один из шлюзов IPSec туннеля становится недоступным (перегружается, пропадает связь, etc), то другой шлюз будет считать, что все ок и не будет пытаться переустановить туннель до истечения сроков жизни SA-s.

Вернуться наверх

Stanislav

Заголовок сообщения:

Добавлено: Вт мар 02, 2004 12:22

Зарегистрирован: Пн окт 27, 2003 08:16
Сообщений: 31

Кстати насчет SA
я все пытаюсь скрестить DFL-100 с 2000-м

(безрезультатно пока без отключения файрволла пинги с другой стороны не ходят, а с отключением Firewall Global Status пинги ходят но ничего не копируется со стороны 2000-го - он в упор не видит машину)

время SA выставлять в DFL понятно где, а вот где его выставлять в win2k? Может в реестре покопаться надо?

В 2000-м настройках Security Method есть две вкладки:
generate new key every xxx Kbytes
generate new key every xxx Seconds (это оно?)

ставлю на dfl-100 и на win2k по минимуму 3600

Получается такой глюк:
2000-ый пингует подсеть за DFL-100
проходит некоторое время после удачного пинга (минут пять), а затем:

1) либо на DFL-100 отключается vpn соединение, но при этом 2000-ый продолжает пинговать удаленные машины (вообще бред какой-то)

2) либо на DFL-100 есть vpn соединение но машины не пингуются (хотя пять минут назад пинги шли).

соединение само собой не востанавливается - ждал несколько часов.
для восстановления приходится отключать и заново включать политику на 2000-м или руками отрубать соединение на DFL-100.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 3 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 249

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения