1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 27, 2025 00:51

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
bugoga
 Заголовок сообщения: ike_quickmode_failed
СообщениеДобавлено: Ср июл 16, 2008 09:02 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
Есть такая схема: центральный офис с Dlink dfl-210 и удаленные офисы с dlink 808HV и зухелями. Все удаленные офисы создают впн тунели с центральным офисом. Очень часто эти каналы падают, и потом не могут восстановиться. В логах пишется следующее:

2008-07-16 10:56:54 Warning IPSEC
1800109
local_ip=85.112.*.* remote_ip=212.32.*.* cookies=86d2cecd89ddf5cde606d3b386250c22 reason="Aborted notification"

ike_quickmode_failed

Что им не хватает? Интернет канал стабилен.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 16, 2008 10:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Дело в настройках тоннеля,возможно в канале, для диагностики IPSec на DFL можете использовать этот документ. http://www.mediafire.com/?7tjyngmnmzv


p.s. отключайте всегда keep alive и dpd эти механизмы у разных производителях могут быть не совместимы.


Последний раз редактировалось Sergey Vasiliev Ср июл 16, 2008 15:04, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
bugoga
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 16, 2008 12:29 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
Посмотрел я утилитой ikesnoop. При подключении вроде все нормально.
Вот лог:
Код:
2008-07-16 14:16:23: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x52e2de0c
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : ESP
    Delete SPIs : 0x90e9c95d

2008-07-16 14:16:23: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:28: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:33: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:43: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:16:53: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:13: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:14: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x0d566112
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x91e967b9

2008-07-16 14:17:14: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:19: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:24: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:34: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:17:44: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:04: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:05: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x832d9500
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x92e90317

2008-07-16 14:18:05: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:10: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:15: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:25: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:35: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:55: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:18:56: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x971f3f0f
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x93e99d76

2008-07-16 14:18:56: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:01: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:06: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:16: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:26: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:46: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x46f3c206
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  D (Delete)
    Payload data length : 12 bytes
    Protocol ID : Reserved
    Delete SPIs : 0x94e93ad8

2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x06611de3
Packet length  : 292 bytes
# payloads     : 6
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  SA (Security Association)
    Payload data length : 52 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ESP
          SPI Size                   : 4
            SPI Value                : 0x95e9d53b
          Transform 1/1
            Transform ID             : 3DES
            Authentication algorithm : HMAC-MD5
            Encapsulation mode       : Tunnel
            Group description        : MODP 1024
            SA life type             : Seconds
            SA life duration         : 360
  NONCE (Nonce)
    Payload data length : 20 bytes
  KE (Key Exchange)
    Payload data length : 128 bytes
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.203.0/24)
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.0.0/24)

2008-07-16 14:19:47: IkeSnoop: Sending IKE packet to 85.112.59.94:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x06611de3
Packet length  : 288 bytes
# payloads     : 6
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  SA (Security Association)
    Payload data length : 52 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ESP
          SPI Size                   : 4
            SPI Value                : 0x24c2fb76
          Transform 1/1
            Transform ID             : 3DES
            Authentication algorithm : HMAC-MD5
            Encapsulation mode       : Tunnel
            Group description        : MODP 1024
            SA life type             : Seconds
            SA life duration         : 360
  NONCE (Nonce)
    Payload data length : 16 bytes
  KE (Key Exchange)
    Payload data length : 128 bytes
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.203.0/24)
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=192.168.0.0/24)

2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xb79dd46f7412940 -> 0x1f10f26ba86ba93
Message ID     : 0x06611de3
Packet length  : 48 bytes
# payloads     : 1
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes



В настройках тонеля поставил лайф тайм 360 секунд. После их истечения реконнект происходит очень долго.
Как я понял это из за вот этих холостых пакетов:


Код:
2008-07-16 14:18:56: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:01: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:06: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:16: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:26: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:46: IkeSnoop: Received IKE packet from 85.112.59.94:500
2008-07-16 14:19:47: IkeSnoop: Received IKE packet from 85.112.59.94:500


В чём их причине не понятно.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 16, 2008 14:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Такая проблема возникала с DI при спользовании старой прошивки. Какая прошивка на DI?
Вернуться наверх
 Профиль  
 
bugoga
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 07:05 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
Firmware Version: V1.50b08, Wed, Jun 18 2008
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 08:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Попробуйте использовать PFS и aggressive mode на обоих устройствах
Вернуться наверх
 Профиль  
 
bugoga
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 12:41 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
Отключил все что вы сказали, проблема осталась. Кстати эта проблема не только когда клиентом является DI-xxx, но и когда любая другая железка, нпаример zyxel. Теже холостые пакеты. Быть может это дело в dfl-210. Прошивка на нем 2.20.01.05-4843
Feb 8 2008
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 13:03 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Я пытаюсь воспроизвести ситуацию с участием DFL-DI, но пока это не удается. Нужно для этого определенное время. Вы используете ключ какой длинны?
Вернуться наверх
 Профиль  
 
bugoga
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 13:26 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
Я выставил IKE Algorithms и IPsec Algorithms в medium. Там как я понял поддержка всего и вся. Но какая длина ключа используется я не знаю

PS. Если нужно могу выслать конфиги обоих роутеров на почту
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 14:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Конфиги высылать не к чему. Убедитесь что на DI количество тоннелей установлено больше чем используется. После обновления прошивки на новую вы настраивали роутеры вручную или заливали старый конфиг?
Вернуться наверх
 Профиль  
 
bugoga
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 15:00 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
Количество тонелей установлено в 3. Настроен только один тонель. Конфиг не заливал. Настройки сохранились старые.

Вообще на 210 ом настроено порядко 25 тоннелей. Все время от времени страдают этой проблемой, но не одновреммено.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 17, 2008 15:20 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
bugoga писал(а):
Настройки сохранились старые


После обновления прошивки. ОБЯЗАТЕЛЬНО сбрасывать в заводские настройки и перенастраивать в ручную. Это касается всех маршрутизаторов кроме серии DFL
Вернуться наверх
 Профиль  
 
bugoga
 Заголовок сообщения:
СообщениеДобавлено: Пн июл 21, 2008 08:56 
Не в сети

Зарегистрирован: Пн июн 30, 2008 07:40
Сообщений: 33
КАжется проблема всё таки в 210ом. Я его перезагрузил полностью. Теперь все тонели живут нормально. Боюсь что это повторится через недельку, потому что поначалу тоже было все нормально, а потом начали падать. Видимо нужно перезагружать 210 раз в недельку
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB