1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 06:57

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Eney
СообщениеДобавлено: Пн июн 06, 2005 17:52 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Добрый день,

Прошу помощи, уже сил нет бороться. :(
Имеем 5 маршрутизаторов DI-804HV и центральный сервер на FreeBSD.
Конфигурация сделана по примеру http://www.dlink.ru/technical/faq_vpn_11.php

Прошивка DI-804HV: V1.40b04, Wed, Oct 06 2004
Racoon - ipsec-tools 0.5.2

Все работает. На маршрутизаторах выставлено Keep-Alive на локальный адрес сервера. После пропадания канала связь не восстанавливается. Помогает перезагрузка маршрутизаторов. Вопрос что можно сделать в данном случае, чтобы обеспечить стабильную связь?
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 06, 2005 18:21 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
После пропадания со стороны DI-804HV состояние - Idle (Reconnect)
Внешний адрес DI-804HV - x.x.x.x
Внешний адрес FreeBSD - y.y.y.y

Со стороны сервера FreeBSD
2005-06-06 18:18:17: INFO: initiate new phase 2 negotiation: x.x.x.x[0]<=>y.y.y.y[0]
2005-06-06 18:18:47: ERROR: x.x.x.x give up to get IPsec-SA due to time up to wait.

Tcpdump выдает:
18:31:57.484789 y.y.y.y > x.x.x.x: icmp: echo request
18:31:57.797963 x.x.x.x > y.y.y.y: icmp: echo reply [tos 0xd0]
18:32:18.668504 y.y.y.y.500 > x.x.x.x.500: isakmp: phase 2/others ? oakley-quick[E]: [encrypted hash]

Почему не работает Keep-Alive?
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 06, 2005 18:43 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Нажимаем в веб-интерфейсе Reconnect. Канал поднимается:

2005-06-06 18:49:10: INFO: initiate new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2005-06-06 18:49:34: INFO: respond new phase 1 negotiation: y.y.y.y[500]<=>x.x.x.x[500]
2005-06-06 18:49:34: INFO: begin Identity Protection mode.
2005-06-06 18:49:34: WARNING: SPI size isn't zero, but IKE proposal.
2005-06-06 18:49:35: INFO: ISAKMP-SA established y.y.y.y[500]-x.x.x.x[500] spi:f5b1618b765efcee:19e0cc88ce9c2357
2005-06-06 18:49:35: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2005-06-06 18:49:36: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x->y.y.y.y spi=93108483(0x58cb903)
2005-06-06 18:49:36: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y-x.x.x.x spi=503316496(0x1e000010)

После этого все работает, может я что-то не так делаю?
Вернуться наверх
 Профиль  
 
Sergey Sivcov
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 08:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
Попробуйте установить время жизни IKESA ,больше чем для IPSecSA.
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 09:48 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Sergey Sivcov писал(а):
Попробуйте установить время жизни IKESA ,больше чем для IPSecSA.

Забыл указать.
IKE: DH Group2, Encrypt 3DES, Auth MD5, Lifetime 86400 sec
IPSec: DH Group2, Encap ESP, Encrypt 3DES, Auth MD5, Lifetime 28800 sec
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 10:50 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Еще раз, прошу помощи. Что можно сделать?
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 12:40 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
По какой то причине получается что одна сторона начинает переустановку туннеля до истечения таймаута. И похоже это -- ракун на фри.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 13:05 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Alexander Shebaronin писал(а):
По какой то причине получается что одна сторона начинает переустановку туннеля до истечения таймаута. И похоже это -- ракун на фри.

Может я не правильно понял. Если по какой-то причине происходит переустановка туннеля, это должно произойти автоматически в кратчайший термин. Например пропало электричество, пропал канал к провайдеру, нужно было перезагрузить устройство после изменения конфигурации. Или понятия про линк не существует? Он или есть или его нет.
Далее, судя по приведенным мною логам ответа нет от DI-804HV, именно он почему-то игнорирует все попытки связаться с ним.
Поэтому я очень прошу подсказать мне, что именно можно попробовать поменять в настройке маршрутизатора, чтобы он САМ поддерживал связь.
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 16:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
В IPSeс есть такое понятие -- время жизни. И вот все, что приходит до истечения этого времени жизни, считается попыткой третьей стороны или еще чего вклиниться в соединение. Поэтому и были придуманы механизмы keepalive.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 07, 2005 16:51 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Alexander Shebaronin писал(а):
В IPSeс есть такое понятие -- время жизни. И вот все, что приходит до истечения этого времени жизни, считается попыткой третьей стороны или еще чего вклиниться в соединение. Поэтому и были придуманы механизмы keepalive.

Какой размер Lifetime Вы рекомендуете для стабильной работы маршрутизатора DI-804HV для IKE и IPSec?
Вернуться наверх
 Профиль  
 
Eney
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 08, 2005 09:34 
Не в сети

Зарегистрирован: Пн апр 25, 2005 19:15
Сообщений: 17
Откуда: Lutsk
Alexander Shebaronin писал(а):
Поэтому и были придуманы механизмы keepalive.

Почему неработает данный механизм для прошивки 1.40?
Или объясните почему поведение маршрутизатора отличается от указанного здесь: http://www.dlink.ru/technical/faq_vpn_13.php
Вернуться наверх
 Профиль  
 
aster
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 22, 2005 16:43 
Не в сети

Зарегистрирован: Пт июл 08, 2005 15:56
Сообщений: 19
Откуда: С. - Петербург
решилась проблема? у меня такая была, но я вроде бы как её порешал:
вот racoon.conf:

Код:
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
path certificate "/usr/local/etc/cert" ;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

listen
{
        #isakmp ::1 [7000];
        isakmp XX.XX.XX.XX [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote anonymous
{
        #exchange_mode main,aggressive;
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;

        #my_identifier address;
        my_identifier user_fqdn "user@domain.ru";
        peers_identifier user_fqdn "user@domain.ru";
        #certificate_type x509 "mycert" "mypriv";

        nonce_size 16;
        lifetime time 10800 sec;        # sec,min,hour
        initial_contact on;
        support_mip6 on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time 10800 sec;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate ;
}


настройки на DI-804HV:
IKE: ike1 - group2 - 3DES - SHA1 - 10800sec
IPSEC: ipsec1 - group2 - ESP - 3DES - MD5 - 10800sec
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 238

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB