|
Здравствуйте, уважаемые!
Имеется проблема с ipsec-еуннелем между DFL-800 и DI-804HV. Прошивки 2.27.00.14-14088 для DFL-800 и 1.51b16 для DI-804HV. Проблема заключается в том, что туннель постоянно рвётся после истечения времени ipsec lifetime. Выглядит это так. Туннель устанавливается и работает. Истекает ipsec lifetime (оно естественно установлено одинаковое на обоих устройствах). Через минуту туннель рвётся, причём точно через минуту, через минуту поднимается, снова рвётся через минуту и так далее. В это время в логах на DFL-800 идут ошибки IPSEC_INVALID_COOKIE.
В то же время если посмотреть на страницу "list all active IKE SAs" на DFL-800 можно увидеть там два (или больше) SA для этого туннеля. У самого первого время создания совпадает со временем окончания времени жизни ipsec. У второго и следующих время увеличивается ровно на минуту. Удалить эти "лишние" SA невозможно. При попытке удаления любого удаляется самый последний, который тут же возникает вновь. Причем удалить можно только один SA за раз. Другие не удаляются пока не обновишь эту страницу. Я обычно щёлкаю на "List VPN interfaces" и тут же снова "List all active IKE SAs". Как правило только что удалённый SA там уже присутствует вновь. Но иногда этого не происходит. Тогда можно успеть удалить ещё один. Если это был последний, есть вероятность, что туннель поднимется надолго. Но иногда даже после удаления всех одновременно появляются сразу два. И тогда всё приходится начинать сначала.
Если после всех этих манипуляций туннель продержится больше минуты и не появится новый SA, дальше он будет стоять все время ipsec lifetime. lifetime у меня установлен в 12 часов и каждое утро у меня начинается с реанимации этого туннеля.
На DFL-800 подняты ещё 3 туннеля, на других концах которых стоят DFL-210. Эти туннели работают нормально.
|
Вход
Регистрация
FAQ
Поиск
