D-Link • Просмотр темы - IPSec между dfl260e и dl824 постоянно падает.

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

IPSec между dfl260e и dl824 постоянно падает.

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

vanoha

Заголовок сообщения: IPSec между dfl260e и dl824 постоянно падает.

Добавлено: Пн сен 10, 2012 11:44

Зарегистрирован: Сб дек 24, 2011 13:34
Сообщений: 25

Доброго времени суток. Поднял тонель между dfl260e и dl824, сделал всё по инструкциям на сайте. Но почему то он периочиски падает (с периодичностью максимум сутки). После неоднократного reconnect IPSec на dl824, а иногда и ребута dfl260e всё снова начинает работать без проблем но не долго, снова около суток. Подскажите пожалуйста, что можно сделать? Как решить данную проблему?

Вернуться наверх

danilovav

Заголовок сообщения: Re: IPSec между dfl260e и dl824 постоянно падает.

Добавлено: Вт сен 11, 2012 23:52

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Что в логах?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

vanoha

Заголовок сообщения: Re: IPSec между dfl260e и dl824 постоянно падает.

Добавлено: Ср сен 12, 2012 09:34

Зарегистрирован: Сб дек 24, 2011 13:34
Сообщений: 25

Лог с DL:
Wednesday September 12, 2012 09:22:38 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Wednesday September 12, 2012 09:22:38 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:SHA1 HASH:Others PFS(Group):NONE
Wednesday September 12, 2012 09:22:38 error = 14
Wednesday September 12, 2012 09:22:41 Send IKE (INFO) : delete [192.168.3.0|xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy|192.168.0.0] phase 2
Wednesday September 12, 2012 09:22:41 IKE phase2 (IPSec SA) remove : 192.168.3.0 <-> 192.168.0.0
Wednesday September 12, 2012 09:22:41 inbound SPI = 0x2004b10, outbound SPI = 0xc503cea5
Wednesday September 12, 2012 09:22:41 Send IKE Q1(QINIT) : 192.168.3.0 --> 192.168.0.0
Wednesday September 12, 2012 09:22:41 Receive IKE Q2(QRESP) : [192.168.0.0|yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:41 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):Group2
Wednesday September 12, 2012 09:22:41 Send IKE Q3(QHASH) : 192.168.3.0 --> 192.168.0.0
Wednesday September 12, 2012 09:22:41 IKE Phase2 (IPSEC SA) established : [192.168.0.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:41 inbound SPI = 0x800d913, outbound SPI = 0x3f586b4e
Wednesday September 12, 2012 09:22:42 Receive IKE Q1(QINIT) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Wednesday September 12, 2012 09:22:42 Requested routing is [192.168.0.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:42 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Wednesday September 12, 2012 09:22:42 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:SHA1 HASH:Others PFS(Group):NONE
Wednesday September 12, 2012 09:22:42 error = 14
Wednesday September 12, 2012 09:22:46 Send IKE (INFO) : delete [192.168.3.0|xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy|192.168.0.0] phase 2
Wednesday September 12, 2012 09:22:46 IKE phase2 (IPSec SA) remove : 192.168.3.0 <-> 192.168.0.0
Wednesday September 12, 2012 09:22:46 inbound SPI = 0x500e011, outbound SPI = 0xacc0909c
Wednesday September 12, 2012 09:22:46 Send IKE Q1(QINIT) : 192.168.3.0 --> 192.168.0.0
Wednesday September 12, 2012 09:22:46 Receive IKE Q2(QRESP) : [192.168.0.0|yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:46 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):Group2
Wednesday September 12, 2012 09:22:47 Send IKE Q3(QHASH) : 192.168.3.0 --> 192.168.0.0
Wednesday September 12, 2012 09:22:47 IKE Phase2 (IPSEC SA) established : [192.168.0.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:47 inbound SPI = 0xa00a015, outbound SPI = 0xfe74ae0f
Wednesday September 12, 2012 09:22:50 Receive IKE Q1(QINIT) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Wednesday September 12, 2012 09:22:50 Requested routing is [192.168.0.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:50 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Wednesday September 12, 2012 09:22:50 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:SHA1 HASH:Others PFS(Group):NONE
Wednesday September 12, 2012 09:22:50 error = 14
Wednesday September 12, 2012 09:22:52 Send IKE (INFO) : delete [192.168.3.0|xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy|192.168.0.0] phase 2
Wednesday September 12, 2012 09:22:52 IKE phase2 (IPSec SA) remove : 192.168.3.0 <-> 192.168.0.0
Wednesday September 12, 2012 09:22:52 inbound SPI = 0x800d913, outbound SPI = 0x3f586b4e
Wednesday September 12, 2012 09:22:52 Send IKE Q1(QINIT) : 192.168.3.0 --> 192.168.0.0
Wednesday September 12, 2012 09:22:52 Receive IKE Q2(QRESP) : [192.168.0.0|yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:52 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):Group2
Wednesday September 12, 2012 09:22:52 Send IKE Q3(QHASH) : 192.168.3.0 --> 192.168.0.0
Wednesday September 12, 2012 09:22:52 IKE Phase2 (IPSEC SA) established : [192.168.0.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.3.0]
Wednesday September 12, 2012 09:22:52 inbound SPI = 0xb00d116, outbound SPI = 0x86e05fac
Wednesday September 12, 2012 09:22:57 Send IKE (INFO) : delete [192.168.3.0|xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy|192.168.0.0] phase 2
Wednesday September 12, 2012 09:22:57 IKE phase2 (IPSec SA) remove : 192.168.3.0 <-> 192.168.0.0
Wednesday September 12, 2012 09:22:57 inbound SPI = 0xa00a015, outbound SPI = 0xfe74ae0f

Последний раз редактировалось vanoha Ср сен 12, 2012 09:42, всего редактировалось 1 раз.

Вернуться наверх

vanoha

Заголовок сообщения: Re: IPSec между dfl260e и dl824 постоянно падает.

Добавлено: Ср сен 12, 2012 09:39

Зарегистрирован: Сб дек 24, 2011 13:34
Сообщений: 25

Лог DFL:
2012-09-12
13:34:28 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" initiator_spi="cc0cb3bb be91be08" responder_spi="ed06cd73 86837697" int_severity=6
2012-09-12
13:34:28 Info IPSEC
1800102

ipsec_event
message="IPsec SA [Initiator] negotiation failed:"
2012-09-12
13:34:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:34:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:34:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:34:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:34:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:34:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:34:28 Info IPSEC
1802708

ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x7db00af7, AH=0xc75e5853, IPComp=0x2052cae"
2012-09-12
13:34:26 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies=7db00af7c75e585302052caea8ae914d reason="Delete payload contains invalid protocol id"
2012-09-12
13:34:23 Info CONN
600001 toPPtPclient UDP lan
pptp_server 192.168.0.7
192.168.0.200 1057
161 conn_open
conn=open
2012-09-12
13:34:23 Info CONN
600002 fromPPtPclient TCP pptp_server
lan 192.168.0.200
192.168.0.8 1782
139 conn_close
close
conn=close origsent=65787 termsent=117090 conntime=119
2012-09-12
13:34:20 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies=7db00af7c75e585302052caea8ae914d reason="Delete payload contains invalid protocol id"
2012-09-12
13:33:45 Info CONN
600002 fromPPtPclient TCP pptp_server
lan 192.168.0.200
192.168.0.8 1781
139 conn_close
close
conn=close origsent=240 termsent=133 conntime=81
2012-09-12
13:33:28 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" initiator_spi="cc0cb3bb be91be08" responder_spi="ed06cd73 86837697" int_severity=6
2012-09-12
13:33:28 Info IPSEC
1802024

ike_sa_negotiation_completed
options=Initiator mode="Main Mode" auth="Pre-shared keys" encryption=des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800
2012-09-12
13:33:28 Info IPSEC
1803021

ipsec_sa_statistics
done=61 success=46 failed=15
2012-09-12
13:33:28 Warning IPSEC
1800109

ike_quickmode_failed
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies=7db00af7c75e585302052caea8ae914d reason="Timeout"
2012-09-12
13:33:28 Warning IPSEC
1803020

ipsec_sa_failed
no_ipsec_sa
statusmsg="Timeout"
2012-09-12
13:33:28 Info IPSEC
1800102

ipsec_event
message=" Remote Proxy ID 192.168.3.0/24 any"
2012-09-12
13:33:28 Info IPSEC
1800102

ipsec_event
message=" Local Proxy ID 192.168.0.0/24 any"
2012-09-12
13:33:28 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" initiator_spi="7db00af7 c75e5853" responder_spi="02052cae a8ae914d" int_severity=6
2012-09-12
13:33:28 Info IPSEC
1800102

ipsec_event
message="IPsec SA [Initiator] negotiation failed:"
2012-09-12
13:33:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:33:28 Warning IPSEC
1800106

ike_invalid_payload
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
2012-09-12
13:33:28 Info IPSEC
1802708

ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x11e2d2e1, AH=0x11c92f5c, IPComp=0xd395fa5"
2012-09-12
13:33:19 Info CONN
600002 allow_all TCP lan
fwB-ipsec 192.168.0.8
192.168.3.33 1466
139 conn_close
close
conn=close origsent=144 termsent=0 conntime=61
2012-09-12
13:33:19 Info CONN
600002 allow_all TCP lan
fwB-ipsec 192.168.0.8
192.168.3.33 1465
445 conn_close
close
conn=close origsent=144 termsent=0 conntime=61
2012-09-12
13:33:16 Warning RULE
6000051 Default_Rule TCP pptp_server
192.168.3.33
74.125.232.65 1245
443 ruleset_drop_packet
drop
ipdatalen=20 ack=1 fin=1
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=9f2c compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=b580 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb30 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb14 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=baf8 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb1c compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb22 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=b918 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb00 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb26 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb04 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.0.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=bb08 compchksum=3e58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.3.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=b97a compchksum=3b58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.3.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=b976 compchksum=3b58 ipdatalen=30
2012-09-12
13:33:16 Warning IP_ERROR
1500005 LogChecksumErrors 139 lan
192.168.3.255
255.255.255.255
invalid_ip_checksum
drop
recvchksum=b978 compchksum=3b58 ipdatalen=30
2012-09-12
13:33:01 Info IPSEC
1803021

ipsec_sa_statistics
done=60 success=46 failed=14
2012-09-12
13:33:01 Info IPSEC
1802046

ipsec_sa_lifetime
sec=3600
2012-09-12
13:33:01 Info IPSEC
1802043

ipsec_sa_informal
spiin="24ada843 " spiout="7000287e " alg=des-cbc keysize= mac=hmac-md5-96
2012-09-12
13:33:01 Info IPSEC
1802058

ipsec_sa_informal
local_id="192.168.0.0/24 any" remote_id="192.168.3.0/24 any"
2012-09-12
13:33:01 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" initiator_spi="7db00af7 c75e5853" responder_spi="02052cae a8ae914d" int_severity=6
2012-09-12
13:33:01 Info IPSEC
1802041

ipsec_sa_informal
dhgroup=2 bits=1024
2012-09-12
13:33:01 Info IPSEC
1802040

ipsec_sa_negotiation_completed
ipsec_sa_enabled
sa=Responder info="tunnel" local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" spi_in="ESP 24ada843" spi_out="ESP 7000287e"

Вернуться наверх

vanoha

Заголовок сообщения: Re: IPSec между dfl260e и dl824 постоянно падает.

Добавлено: Ср сен 12, 2012 09:46

Зарегистрирован: Сб дек 24, 2011 13:34
Сообщений: 25

Вот куски логов. Единственное что уже два дня тонель работает 5 минут, падает, через минуту поднимается и через 5 минут обратно падает. Ужас...

Вернуться наверх

danilovav

Заголовок сообщения: Re: IPSec между dfl260e и dl824 постоянно падает.

Добавлено: Пт сен 21, 2012 08:27

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Основным моментом, на который надо обратить внимание, является

ike_quickmode_failed
local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies=7db00af7c75e585302052caea8ae914d reason="Timeout"
2012-09-12
13:33:28 Warning IPSEC
1803020

Проверяйте ваших провайдеров, откуда таймауты

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 231

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения