1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 09:48

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 4 из 4
  [ Сообщений: 56 ]  На страницу Пред.  1, 2, 3, 4
  Предыдущая тема | Следующая тема 
Автор Сообщение
ILD
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:23 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
ОК.
Что именно надо?
1. Конфиг шлюза
2. Конфиг клиента

Все?

Цитата:
UDP Сессия будет висеть до таймаута


т.е. через 300 секунд при этом можно восстановить связь?
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:32 
восстановить будет неправильно сказано...
Устройство удалит данные о этой сессии следовательно пути _к_ клиенту у сервера нет. Он будет тщетно пытаться достучатся до клиента, клиент при этом будет пытать работать по новому порту UDP сервер также будет его блокировать(по аналогии -- если представить что у cisco есть такой же лог как и у DI-804hv, то там будет такое же сообщение. А connected висит из-за того, что Вы не используете функции keep-alive\DPD. Включите их, я думаю что проблема решится...
Вот что пишет cisco на своём сайте:

When using the VPN Client behind an ESP-aware NAT/Firewall, the port on the NAT/Firewall device may be closed due to the VPN Client's keepalive implementation, called DPD (Dead Peer Detection). When a client is idle, it does not send a keepalive until it sends data and gets no response.

To allow the VPN Client to work through ESP-aware NAT/Firewalls, add the ForceKeepAlives parameter to the *.pcf (profile configuration file) for the affected connection profile. This parameter enables IKE and ESP keepalives for the connection at approximately 20 second intervals.

Use the following syntax when adding this parameter to the [Main] section of any *.pcf file:

ForceKeepAlives=1

For more information, see "Connection Profile Configuration Parameters" in the VPN Client Administrator Guide.

Собственно то о чём я уже и пытаюсь Вам сказать на протежении 4-х страниц.
Вернуться наверх
  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:33 
дока:
http://cisco.com/en/US/products/sw/secu ... bd983.html
Вернуться наверх
  
 
ILD
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:43 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
На стороне сервера keep-alive включен. Вот почему у меня в выходные клиент не откинулся, хотя данные не передавались по каналу.

Что касается решения проблемы, то что с меня надо. Какие конфиги, логи предоставить?
Полные конфиги, естессно предоставить не могу, поскольну на шлюзе настроены 2 VPN канала. Могу просто их временно удалить и сделать выгрузку конфига
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:47 
Я не пойму причём тут сервер, функцию нужно настроить на клиенте. Она у Вас не натроена, если бы была настроена проблем бы не было.
Нужна _полная_ информация.
Вернуться наверх
  
 
ILD
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:51 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
На клиенте такой настройки нет.
Куда слать конфиги?
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 16:54 
на емайл, он в INFO
Читайте доку которую я привел, настройка там есть.
Вернуться наверх
  
 
ILD
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 17:02 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
ага, только там файлов pcf нет. Наиболее близкое по смыслу: vpnclient.ini в него и добавил. Завтра посмотрим, как себя поведет клиент.

Спасибо.
Вернуться наверх
 Профиль  
 
ILD
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 19, 2007 08:23 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
Нарыл еще интересную вещь.
Как я уже говорил, на шлюзе настроено два VPN канала связи, которые поднимаются, как только идет передача данных.

Ну так вот. Один канал практически всегда поднят, поскольку по нему всегда передаются данные. А вот второй поднимается только изредка. Как раз в тот момент, когда подняты оба VPN канала на шлюзе - начинают блокироваться пакеты с Cisco клиентом.
Пробовал несколько раз - ситуация стабильно повторяется.

Делаю Drop одного из VPN соединений - и Cisco клиент опять начинает работать.
Вот, видимо истинная причина.
Вернуться наверх
 Профиль  
 
ILD
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 19, 2007 08:30 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
В логе все хорошо видно:

Tuesday June 19, 2007 10:15:03 Restarted by 192.168.0.2
Tuesday June 19, 2007 10:15:06 Send IKE M1(INIT) : 213.156.xxx.xxx --> 195.146.xxx.xxx
Tuesday June 19, 2007 10:15:06 Receive IKE M2(RESP) : 195.146.xxx.xxx --> 213.156.xxx.xxx
Tuesday June 19, 2007 10:15:06 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group1
Tuesday June 19, 2007 10:15:06 Send IKE M3(KEYINIT) : 213.156.xxx.xxx --> 195.146.xxx.xxx
Tuesday June 19, 2007 10:15:06 Receive IKE M4(KEYRESP) : 195.146.xxx.xxx --> 213.156.xxx.xxx
Tuesday June 19, 2007 10:15:06 Send IKE M5(IDINIT) : 213.156.xxx.xxx --> 195.146.xxx.xxx
Tuesday June 19, 2007 10:15:06 Receive IKE M6(IDRESP) : 195.146.xxx.xxx --> 213.156.xxx.xxx
Tuesday June 19, 2007 10:15:06 IKE Phase1 (ISAKMP SA) established : 195.146.xxx.xxx <-> 213.156.xxx.xxx
Tuesday June 19, 2007 10:15:07 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.50.0
Tuesday June 19, 2007 10:15:07 Receive IKE Q2(QRESP) : [192.168.50.0|195.146.xxx.xxx]-->[213.156.xxx.xxx|192.168.0.0]
Tuesday June 19, 2007 10:15:10 Blocked access attempt from 62.205.xxx.xxx:4500 to UDP port 57279
Вернуться наверх
 Профиль  
 
ILD
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 19, 2007 08:33 
Не в сети

Зарегистрирован: Пт апр 20, 2007 09:59
Сообщений: 62
Все, решил проблему!!!!

В настройках VPN каналов стояло:
Max. number of tunnels: 2
Исправил на 3 и все заработало!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 4 из 4
  [ Сообщений: 56 ]  На страницу Пред.  1, 2, 3, 4

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 208

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB