faq обучение настройка
Текущее время: Пт мар 29, 2024 05:14

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
СообщениеДобавлено: Пн июл 12, 2021 12:59 
Не в сети

Зарегистрирован: Пт окт 09, 2020 17:55
Сообщений: 7
Здравствуйте.
D-Link DFL260E стоит за фаерволом, к настройкам которого нет доступа. На другой площадке стоит MikroTik hAP ac2 с внешним выделенным IP-адресом.
С целью доступа в сеть DFL-260E, на Mikrotik настроен VPN-сервер L2TP/IPSec, DFL подключается к нему как клиент L2TP.
Доступ снаружи в сеть есть, все работает, но есть одна проблема - раз в 8 часов соединение рвется примерно на час (+/-), после чего восстанавливается.

Очевидно дело в настройках туннеля IPSec в DFL:
- в разделе IKE(Phase-1) параметр Lifetime - 28800 секунд, т.е. 8 часов;
- в разделе IKE(Phase-2) - 3600 секунд, т.е. 1 час.
Значения по умолчанию.
Вопрос - как настроить подключение так, чтобы оно не рвалось каждые 8 часов, либо сразу само восстанавливалось?


Последний раз редактировалось C-S2020 Пн дек 06, 2021 21:52, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июл 12, 2021 15:27 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
да настройте чистый L2tp . и пусть DFL стучится к микротику ..
Не вижу принципиальности кроме как паранойя администратора ...
и меня не переубедить ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 06, 2021 22:09 
Не в сети

Зарегистрирован: Пт окт 09, 2020 17:55
Сообщений: 7
В процессе наблюдения выяснил, что на MikroTik первая фаза IPSec переходит в статус expired за некоторое время до того момента, чем это задано в настройках клиента. Например если это 8 часов, то статус expired наступает примерно через 6 с небольшим часов после установления соединения. При этом вторая фаза и соединение L2TP остаются активными, связь есть до того момента, пока не истекут 8 часов. Но после этого первая фаза повторно не инициируется на DFL, при этом на том же DFL вторая фаза отображается в активных(на MikroTik везде пусто соответсвенно). Связи после этого нет в пределах часа, такой период установлен в настройках второй фазы. После чего соединение восстанавливается. Пока еще не понял - дело в настройках MikroTik или в NAT, за которым стоит DFL. С NAT не все так просто - например из этой сети не установить соединение по IKEv2.

На данный момент решение нашел следующее:
На MikroTik раз в 6 часов запускается скрипт, который разрывает соединения первой фазы до того момента, когда она станет expired( /ip ipsec active-peers kill-connections ). Наверное костыль, но так соединение стабильно и uptime у L2TP уже более суток.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 07, 2021 18:18 
Не в сети

Зарегистрирован: Пт окт 09, 2020 17:55
Сообщений: 7
jackyjoy123 писал(а):
thanks for the awesome information.


You re welcome. Is it really was helpful for you?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 51


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB