Привет.

Такая проблема. Есть DI-804HV и есть клиент WIN2000.
Настраиваю VPN туннель и там и там, с клиента Win2000 пингую хост во внутренней сети 804 - туннель поднимается. Все супер.
Итак - все хорошо. Но, как только на 804 добавляешь, скажем, какое-нть правило к фильтру - все: все пинги с Win2000 клиента на внутренние адреса 804 LAN не проходят - request time out.
Как я понял, дело в том, что при добавлении правила в фильтр 804 firewall оутер перегружается и кладет все туннели. А клиент на той стороне этого почему-то не не понимает.

Что делать. Как заставить win2000 заново поднимать туннель?

А вы не пробовали после того как упал туннель (т.е. после окончательного конфигурирования DI и последней его перезагрузки) перезагрузить W2K и заново попытаться поднять его?

для того, чтобы заново поднять туннель, достаточно просто рестартануть сервис IPsec monitor. Но в том-то и дело, что это все требует вмешательства.
Хотелось бы, чтобы все происходило само-собой. Ну хотя бы по таймауту.

Не раз уже говорилось в этом форуме, что IPSec НЕ ОТСЛЕЖИВАЕТ состояние туннеля!
Единственный выход - ставить маленькие времена жизни для SA и стараться не перегружать шлюзы.

Аналогичная ситуация с двумя 804HV.
В IKE Proposal и в IPSec Proposal поставил life time 60 секунд.
Пускаю пинг -t на машину в противоположной сети. пинг идет.
делаю ребут любого из девайса. пинг пропадает. жду положенный тайм-аут. пинг так и не появляется ???
ПОЧЕМУ туннель опять не активизируется?

Опс. Туннель активизируется. но проходит 130-190 секунд.

Опять же почему ?

а время жизни ISAKMP SA?

А где это устанавливать ?
Что-то такого не увидел... плохо смотрел ?

Плохо смотрели.

дык пожалуйста ткните носом, перерыл все, больше не нашел таймаутов
(прошивка 1.34)

Select IKE Proposal...lifetime
А вообще, есть такая хорошая штука - FAQ: http://www.dlink.ru/technical/faq_vpn.html#2
Там все подробно описано.

так ведь в первом моем сообщении я написал:



60 секунд стоит.

хм...ссоррии....прозевал.
Ждем дополнения к стандарту, которые помогут отслеживать состояние туннеля.

похоже я прохавал в чем дело.
имеем таймауты по 60 сек для IKE и IPSec.
на обоих роутерах.
соответственно получаем максимальный исходный тайм-аут 2*2*60=240 секунд. и похоже, именно так и выходит по максимуму.

....гы
то есть получается, что на каждые 4 минуты коннекта, 2-3 уходит на переподнятие туннеля. или я не так понял?
если так - то это как-то кисло: 50-75% времени линк мертвый получается.
Если это только интернет - то еще куда ни шло.
А если нет?
Пока живу так: скрипт, по шедулеру раз в минуту пингует сетку по ту сторону тунеля. Если таймаут, тогда рестартится IPSEC monitor. и т.д.
Хотя - это все криво и через одно место .
Аналогично можно и для самих девайсов сделать. Только для каждого - свой скриптик на машине из евойного лана.

Благ.