1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 11:10

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ 1 сообщение ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
CLX
СообщениеДобавлено: Вс сен 25, 2011 17:42 
Не в сети

Зарегистрирован: Вс сен 25, 2011 17:07
Сообщений: 1
Добрый день.
Решаем классическую задачу: организация IPSec VPN туннелей между центральным офисом (DLF-260E) и удаленными пунктами (DI-80HV), коих пока порядка 20 штук. Построено всё классически в виде "звезды".

Пока туннелей было немного в центре "звезды" стоял такойже di-804hv. Худо/бедно туннели держались. И связь была и в логах кроме keep-alive ничего не светилось.

Поставили в центре "звезды" DFL-260E. И началось. Стали теряться пакеты. Туннели в хаотичном порядке отваливаются (и тутже сами поднимаются).
В терминале SSH по ipsecsats наблюдаю случайные отваливания разных туннелей (повторюсь: восстанавливаются сами и быстро).

В логах DFL-260E постоянно сыпятся записи вида:
Скрытый текст: показать
Код:
ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x1890ebaf, AH=0xf7f59216, IPComp=0xb46c5e3"
2011-09-25
13:44:16    Warning    IPSEC
1802022          
   
ike_sa_failed
no_ike_sa
statusmsg="Invalid payload type" local_peer="xx.xx.xx.xx ID No Id" remote_peer="xx.xx.xx.xx ID No Id" initiator_spi="ESP=0x1890ebaf, AH=0xf7f59216, IPComp=0xb46c5e33"
2011-09-25
13:44:16    Warning    IPSEC
1802715          
   
event_on_ike_sa
side=Responder msg="failed" int_severity=6
2011-09-25
13:44:16    Warning    IPSEC
1800106          
   
ike_invalid_payload
local_ip=xx.xx.xx.xx remote_ip=xx.xx.xx.xx cookies=1890ebaff7f59216b46c5e3328ee1ef7 reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"

2011-09-25
13:53:05    Info    IPSEC
1803021          
   
ipsec_sa_statistics
[b]done=164 success=81 failed=83[/b]
2011-09-25
13:53:05    Warning    IPSEC
1803020

На стороне 804 при инициации phase2 изредка наблюдаю "error 14"

Прошивки:
на DI-804HV : Firmware Version: V1.53RU, Fri, Apr 30 2010
DFL-260E: Firmware Version: 2.27.03.25-14785 Nov 9 2010

Настройки IPSec туннелей:

Скрытый текст: показать
Код:
Name:   chaltyr
Local IP:   192.168.58.4
Broadcast:   0.0.0.0
Local Network:   192.168.58.0/24
Remote Network:   192.168.61.0/24
Remote Gateway:   xx.xx.xx.xx
IKE Mode:   Main
D-H modp group:   1
NAT Traversal:   Enabled if needed and supported by the remote peer
SA per:   Net
PFS:   Disabled
Config Mode:   Disabled
DHCP over IPsec:   Disabled
Add Route:   Disabled
XAUTH Client:   Disabled
XAUTH:   Disabled
Keep-alive:   Enabled (auto)
Authentication:   PSK: psk_key1
MTU:   1400


На обоих сторонах туннелей IP внешние, без всяких NAT (кое где поднимается PPPoE посредством 804го).

Подскажите, почему при замене DI-804 на DFL-260E получили постоянно пестрящие ошибками логи и нестабильные туннели? В чем может быть загвоздка?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ 1 сообщение ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 244

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB