D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

ike_quickmode_failed

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

bugoga

Заголовок сообщения: ike_quickmode_failed

Добавлено: Ср июл 16, 2008 09:02

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

Есть такая схема: центральный офис с Dlink dfl-210 и удаленные офисы с dlink 808HV и зухелями. Все удаленные офисы создают впн тунели с центральным офисом. Очень часто эти каналы падают, и потом не могут восстановиться. В логах пишется следующее:

2008-07-16 10:56:54 Warning IPSEC
1800109
local_ip=85.112.*.* remote_ip=212.32.*.* cookies=86d2cecd89ddf5cde606d3b386250c22 reason="Aborted notification"

ike_quickmode_failed

Что им не хватает? Интернет канал стабилен.

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Ср июл 16, 2008 10:04

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Дело в настройках тоннеля,возможно в канале, для диагностики IPSec на DFL можете использовать этот документ. http://www.mediafire.com/?7tjyngmnmzv

p.s. отключайте всегда keep alive и dpd эти механизмы у разных производителях могут быть не совместимы.

Последний раз редактировалось Sergey Vasiliev Ср июл 16, 2008 15:04, всего редактировалось 1 раз.

Вернуться наверх

bugoga

Заголовок сообщения:

Добавлено: Ср июл 16, 2008 12:29

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

Посмотрел я утилитой ikesnoop. При подключении вроде все нормально.
Вот лог:

Код:

2008-07-16 14:16:23: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x52e2de0c
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : ESP
    Delete SPIs : 0x90e9c95d

2008-07-16 14:16:23: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:28: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:33: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:43: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:53: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:13: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:14: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x0d566112
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x91e967b9

2008-07-16 14:17:14: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:19: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:24: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:34: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:44: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:04: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:05: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x832d9500
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x92e90317

2008-07-16 14:18:05: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:10: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:15: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:25: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:35: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:55: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:56: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x971f3f0f
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x93e99d76

2008-07-16 14:18:56: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:01: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:06: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:16: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:26: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:46: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x46f3c206
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x94e93ad8

2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x06611de3
Packet length  : 292 bytes
# payloads     : 6
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  SA (Security Association)
    Payload data length : 52 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ESP
          SPI Size                   : 4
            SPI Value                : 0x95e9d53b
          Transform 1/1
            Transform ID             : 3DES
            Authentication algorithm : HMAC-MD5
            Encapsulation mode       : Tunnel
            Group description        : MODP 1024
            SA life type             : Seconds
            SA life duration         : 360
  NONCE (Nonce)
    Payload data length : 20 bytes
  KE (Key Exchange)
    Payload data length : 128 bytes
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.203.0/24)
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.0.0/24)

2008-07-16 14:19:47: IkeSnoop: Sending IKE packet to 85.112.59.94:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x06611de3
Packet length  : 288 bytes
# payloads     : 6
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  SA (Security Association)
    Payload data length : 52 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ESP
          SPI Size                   : 4
            SPI Value                : 0x24c2fb76
          Transform 1/1
            Transform ID             : 3DES
            Authentication algorithm : HMAC-MD5
            Encapsulation mode       : Tunnel
            Group description        : MODP 1024
            SA life type             : Seconds
            SA life duration         : 360
  NONCE (Nonce)
    Payload data length : 16 bytes
  KE (Key Exchange)
    Payload data length : 128 bytes
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.203.0/24)
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.0.0/24)

2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x06611de3
Packet length  : 48 bytes
# payloads     : 1
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes

В настройках тонеля поставил лайф тайм 360 секунд. После их истечения реконнект происходит очень долго.
Как я понял это из за вот этих холостых пакетов:

Код:

2008-07-16 14:18:56: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:01: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:06: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:16: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:26: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:46: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500

В чём их причине не понятно.

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Ср июл 16, 2008 14:55

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Такая проблема возникала с DI при спользовании старой прошивки. Какая прошивка на DI?

Вернуться наверх

bugoga

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 07:05

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

Firmware Version: V1.50b08, Wed, Jun 18 2008

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 08:49

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Попробуйте использовать PFS и aggressive mode на обоих устройствах

Вернуться наверх

bugoga

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 12:41

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

Отключил все что вы сказали, проблема осталась. Кстати эта проблема не только когда клиентом является DI-xxx, но и когда любая другая железка, нпаример zyxel. Теже холостые пакеты. Быть может это дело в dfl-210. Прошивка на нем 2.20.01.05-4843
Feb 8 2008

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 13:03

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Я пытаюсь воспроизвести ситуацию с участием DFL-DI, но пока это не удается. Нужно для этого определенное время. Вы используете ключ какой длинны?

Вернуться наверх

bugoga

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 13:26

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

Я выставил IKE Algorithms и IPsec Algorithms в medium. Там как я понял поддержка всего и вся. Но какая длина ключа используется я не знаю

PS. Если нужно могу выслать конфиги обоих роутеров на почту

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 14:35

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Конфиги высылать не к чему. Убедитесь что на DI количество тоннелей установлено больше чем используется. После обновления прошивки на новую вы настраивали роутеры вручную или заливали старый конфиг?

Вернуться наверх

bugoga

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 15:00

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

Количество тонелей установлено в 3. Настроен только один тонель. Конфиг не заливал. Настройки сохранились старые.

Вообще на 210 ом настроено порядко 25 тоннелей. Все время от времени страдают этой проблемой, но не одновреммено.

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Чт июл 17, 2008 15:20

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

bugoga писал(а):

Настройки сохранились старые

После обновления прошивки. ОБЯЗАТЕЛЬНО сбрасывать в заводские настройки и перенастраивать в ручную. Это касается всех маршрутизаторов кроме серии DFL

Вернуться наверх

bugoga

Заголовок сообщения:

Добавлено: Пн июл 21, 2008 08:56

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33

КАжется проблема всё таки в 210ом. Я его перезагрузил полностью. Теперь все тонели живут нормально. Боюсь что это повторится через недельку, потому что поначалу тоже было все нормально, а потом начали падать. Видимо нужно перезагружать 210 раз в недельку

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 38

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения