1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 02:08

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
andrace
 Заголовок сообщения: DFL-210 задвоение IPSEC
СообщениеДобавлено: Пн ноя 17, 2008 15:32 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
есть центральный офис с DFL-800 к нему конектятся по IPSEC DFL-210ки. Подключено около двадцати штук и на некоторых время от времени в STATUS->IPSEC_STATUS->IPSEC SAs происходит задвоение каналов что ли, вообщем одно и тоже там пишется дважды и как результат канал не работает, пока вручную не убъёшь IKE ISA.
[/img]
Вернуться наверх
 Профиль  
 
andrace
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 15:33 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
Прошивки 2,20,02. С чем может быть связано?!
Вернуться наверх
 Профиль  
 
player84
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 18, 2008 15:54 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
andrace писал(а):
Прошивки 2,20,02. С чем может быть связано?!


тоже была с этим проблема, вышел из ситуации поставив положение Keep-alive в AUTO на обоих концах
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 19, 2008 13:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Убедитесь что IPSec и IKE Life time на обоих концах одинаковые.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
andrace
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 19, 2008 22:54 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
Sergey Vasiliev писал(а):
Убедитесь что IPSec и IKE Life time на обоих концах одинаковые.


однозначно одинаковые. неделю работает, потом бац и привет, вторая смена. )))
Keep-Alive всегд в Авто обычно выставляю, иначе вообще труба была раньше. Но пйду ещё проверю для верности.

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.
Вернуться наверх
 Профиль  
 
andrace
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 27, 2008 10:23 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
Вообщем всё настроено по человечьи, но глюк остался. на 25 каналах, такое, с завидным постоянством происходит на трёх. Ибо грущу по данному поводу. Посоветуйте куда ещё глядеть?

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 27, 2008 15:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Такое происходит регулярно? приведите настройки тоннеля, а так же срок через который возникает эта проблема, я попробую её воспроизвести.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
iceman
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 03, 2008 13:13 
Не в сети

Зарегистрирован: Вс мар 21, 2004 16:57
Сообщений: 14
такое происходит при обрывах (на 5-10s) интернета
и не только с ipsec, но и с pptp
задублирование сессий лечиться в моём случае только full restart клиента dfl-210
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 04, 2008 23:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
ппробуйте Сбросить устройство и перенастроить. Если не поможет, предоставьте ikesnoop этой ситуации. Так же попробуйте включать dead peer detection

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
mirage666
 Заголовок сообщения:
СообщениеДобавлено: Сб апр 11, 2009 09:00 
Не в сети

Зарегистрирован: Сб сен 13, 2008 10:10
Сообщений: 9
Каким образом решили проблему ? Та же ситуация с задвоением :(

DFL 210 прошивка 2.20.03
DI-804HV прошивка V1.51b03

На 804ом стоит Auto-reconnect
На 210ом Keep-Alive авто. Обнаружение Dead Peer включен.
IPSec и IKE Life time на обоих концах одинаковые.

Цитата:
происходит задвоение каналов что ли, вообщем одно и тоже там пишется дважды и как результат канал не работает, пока вручную не убъёшь IKE ISA.


Настроено по мануалу из фака.
Вернуться наверх
 Профиль  
 
mirage666
 Заголовок сообщения:
СообщениеДобавлено: Сб апр 11, 2009 14:29 
Не в сети

Зарегистрирован: Сб сен 13, 2008 10:10
Сообщений: 9
Вроде бы задвоение вот после этого происходит.

Код:
2009-04-11
19:23:09   Предостережение   IPSEC
1800106         
   
   
   ike_invalid_payload
local_ip=87.236.45.15 remote_ip=93.92.113.49 cookies=73b38d99aa9fd301f63c2e389fabc3e5 reason="Delete payload contains invalid protocol id"
2009-04-11
19:23:06   Предостережение   IPSEC
1800106         
   
   
   ike_invalid_payload
local_ip=87.236.45.15 remote_ip=93.92.113.49 cookies=73b38d99aa9fd301f63c2e389fabc3e5 reason="Delete payload contains invalid protocol id"
2009-04-11
19:23:05   Предостережение   IPSEC
1800106         
   
   
   ike_invalid_payload
local_ip=87.236.45.15 remote_ip=93.92.113.49 cookies=73b38d99aa9fd301f63c2e389fabc3e5 reason="Delete payload contains invalid protocol id"
2009-04-11
19:22:13   Информация   IPSEC
1802703         
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="87.236.45.15 ID 87.236.45.15" remote_peer="93.92.113.49 ID 93.92.113.49" initiator_spi="daa67686 85339ef7" responder_spi="0cb7c897 aa346342" int_severity=6
2009-04-11
19:22:13   Информация   IPSEC
1802024         
   
   
   ike_sa_negotiation_completed
options=Initiator mode="Main Mode" auth="Pre-shared keys" encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800
2009-04-11
19:22:13   Информация   IPSEC
1803021         
   
   
   ipsec_sa_statistics
done=3103 success=2302 failed=801
2009-04-11
19:22:13   Предостережение   IPSEC
1800109         
   
   
   ike_quickmode_failed
local_ip=87.236.45.15 remote_ip=93.92.113.49 cookies=73b38d99aa9fd301f63c2e389fabc3e5 reason="Timeout"
Вернуться наверх
 Профиль  
 
andrace
 Заголовок сообщения:
СообщениеДобавлено: Сб апр 11, 2009 15:04 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
А вопрос так и не решился

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.
Вернуться наверх
 Профиль  
 
kubik
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 14, 2009 06:02 
Не в сети

Зарегистрирован: Пн авг 08, 2005 07:51
Сообщений: 23
Попробуйте отключить keep-alive с одной из сторон. Частично поможет.
Мне помогло.
Вернуться наверх
 Профиль  
 
iceman
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 15, 2009 14:10 
Не в сети

Зарегистрирован: Вс мар 21, 2004 16:57
Сообщений: 14
keep-alive это наверно хорошо :) но что же делать тем у кого интерфейс l2pt или pptp ???
Вернуться наверх
 Профиль  
 
mirage666
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 27, 2009 08:48 
Не в сети

Зарегистрирован: Сб сен 13, 2008 10:10
Сообщений: 9
kubik писал(а):
Попробуйте отключить keep-alive с одной из сторон. Частично поможет.
Мне помогло.


Отключал и по очереди с каждой из сторон и вообще отключал.
Тоже самое с галкой реконнект на 804ом.

Хард ресетил, прошил и вручную все прописывал на обеих устройствах. Единственно - при хард ресете у 210го остался русский язык :( Может в этом причина ?

У меня на 210ом 4ре тоннеля до 804х и прописан по факу отсюда пптп.

Обычно после окончания ipsec life time (3600 секунд - 1час) или кратковременного обрыва инета на стороне 804ого, на 210ом происходит создание нового тоннеля, а старый не убивается :( Причем за ночь их может накопиться по нескольку десятков.

Причем чем больше нагрузка на тоннель, тем чаще появляется еще один дубль. На том туннеле где нагрузки почти нет - туннель редко множится.

Пока проблема решена так - один манагеров при пропадании связи заходит на вебку 210го и руками убивает все лишние тоннели, причем иногда они не удаляются - тогда перегружает 210ый. Но это маразм :(

Есть какие-то мысли ? Туннели могут мешать друг-другу ? Или может PPTP как-то влияет ?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 252

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB