faq обучение настройка
Текущее время: Пт авг 01, 2025 18:17

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Ср ноя 30, 2011 15:48 
Не в сети

Зарегистрирован: Ср ноя 30, 2011 15:31
Сообщений: 9
День добрый!

Существует несколько туннелей с разными офисами в разных странах и городах России.
На обоих устройствах настроен Keep-alive. Алгоритм везде 3DES. Прошивки с суппорта Тайвань последние(не RU).

Вопрос 1: Проблема в том что с некоторыми офисами связь постоянно рвется и восстанавливается, и в итоге DI-804HV зависает(туннель падает совсем) и на DFL-860 появляется несколько IKE SA.
Так вот с некоторыми происходит это каждый день а с некоторыми раз в неделю.
Может ли быть это связано с качеством интернет соединения между точками или количеством трафика ходящего в туннеле?
Есть ли решение в этой ситуации? Или ребут только выход?

Вопрос 2: DPD(Dead Peer Detection) зачем эта функция в DFL-860 и как она работает если есть Keep-Alive, сейчас она отключена.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Ср ноя 30, 2011 16:59 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
была похожая ситуация только у меня 210.
на пинги по туннелю без слез смотреть не возможно было . сменил старичка ( 804) на 210. что такое обрывы забыл . за сутки ( сам проверял) патеря 4-х пакетов . !

я думаю не держат нагрузки уже старички

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Чт дек 01, 2011 07:05 
Не в сети

Зарегистрирован: Ср ноя 30, 2011 15:31
Сообщений: 9
Цена вопроса:) старичок стоит 2т.руб а 210 уже 10т.руб(а если это дело умножить на *цать), да и что значит нагрузка....один - два компьютера и трафика в туннеле за день максимум 500 метров.
Я с ipsec столкнулся только сейчас на длинках, может еще есть какие настройки?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Чт дек 01, 2011 08:47 
Не в сети

Зарегистрирован: Ср ноя 30, 2011 15:31
Сообщений: 9
В догонку, как определить и как настроить интерфейс который используется для ipsec? если у меня настроено два ISP без failover.
нулевой маршрут от превого провайдера - 95 метрика
от второго - 100


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Чт дек 01, 2011 23:14 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Прописать статический маршрут до удаленного маршрутизатора через нужный wan

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Пт дек 02, 2011 07:17 
Не в сети

Зарегистрирован: Ср ноя 30, 2011 15:31
Сообщений: 9
danilovav писал(а):
Прописать статический маршрут до удаленного маршрутизатора через нужный wan

Спасибо.

Еще такой вопрос, изза чего может быть у одного туннеля два ключа IKE SA?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Пт дек 02, 2011 08:08 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Если с одинаковым IP, то из-за плохого интернета, если разные - значит балансировка/резервирование косячат

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Пт дек 02, 2011 08:43 
Не в сети

Зарегистрирован: Ср ноя 30, 2011 15:31
Сообщений: 9
danilovav писал(а):
Если с одинаковым IP, то из-за плохого интернета, если разные - значит балансировка/резервирование косячат

С одинаковыми) интернет с другой страной и так понятно что уже не хороший. Keep-alive настроен, раз 10 срабатывает, потом помогает только ребут удаленного девайса, как можно решить эту проблемку(чтобы не ребутать и keep-Alive всегда срабатывал)?
Keep-Alive лучше настраивать с двух сторон или с одной?
Или как-то управлять с помощью IKE (initial contact?)?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Пт дек 02, 2011 22:43 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Keep alive с двух сторон
И включите DPD

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Ipsec между DFL-860 и DI-804HV
СообщениеДобавлено: Пн дек 05, 2011 08:11 
Не в сети

Зарегистрирован: Ср ноя 30, 2011 15:31
Сообщений: 9
Keep-Alive на DI-804HV не срабатывает. В инструкции к NetDefend написано что между DPD и Keep-Alive предпочтительней второе, да и в такой конфигурации и с тем и с тем все равно канал падает наглухо.
Есть еще какие мысли, или решения из опыта?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 272


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB