1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 23:33

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
memnox
 Заголовок сообщения: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Вт июн 05, 2012 11:49 
Не в сети

Зарегистрирован: Чт мар 05, 2009 11:53
Сообщений: 43
Добрый день. У меня следующая проблема:

Дано: 2 роутера.
1) DFL-1600 (прошивка 2.26.01.10-13242)
2) DFL-210 (прошивка 2.27.03.25-14787)
На первом создана dmz (dmz1_ip = 10.0.0.1, dmz1_gw = 10.0.0.2).
На втором тоже dmz, соответственно dmz_ip = 10.0.0.2, dmz_gw = 10.0.0.1
Инет раздается через первый роутер.

На первом создан vpn-ipsec - туннель к dmz1_gw, с аутентификацией по Pre-shared Key, между сетями lan1 на первом роутере и lan2 на втором.
На втором такой же туннель, но в обратном направлении.

Раньше все работало исправно, но в последнее время раз-два в день коннект рвется. При этом со второго роутера первый пингуется только по dmz1_ip (10.0.0.1), а сеть lan1 не видна, и инет недоступен.
После многочисленных перезагрузок dfl-210 туннель поднимается (каждый раз по-разному, иногда сразу после перезагрузки, а иногда и около часа не восстанавливается).

В логах на dfl-210 повторяется следующее:

Скрытый текст: показать
2012-06-01
17:19:57 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xd5ad6ff2, AH=0xd8101017, IPComp=0x5dba793"
2012-06-01
17:19:57 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Invalid payload type" local_peer="10.0.0.2 ID 10.0.0.2" remote_peer="10.0.0.1 ID No Id" initiator_spi="ESP=0xd5ad6ff2, AH=0xd8101017, IPComp=0x5dba793d"
2012-06-01
17:19:57 Warning IPSEC
1802715


event_on_ike_sa

side=Initiator msg="failed" int_severity=6
2012-06-01
17:19:57 Notice IPSEC
1800113


sa_lookup_failure
drop
source_ip=10.0.0.1 dest_ip=10.0.0.2 spi=93710c84 seq=4323 protocol=esp reason="ESP SA lookup failure"
2012-06-01
17:19:57 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x7e06cf18, AH=0xcc5600a1, IPComp=0x2ef4ac4"


Кроме этого, в логах есть следующее:

Изображение

Нашел на форуме про аналогичную ошибку, сменил в настройках ARP на AcceptAny:

Изображение

В общем после этого прошли почти сутки, канал пока не упал.
Может это как-то связано с ошибками ARP, кто подскажет??
Вернуться наверх
 Профиль  
 
player84
 Заголовок сообщения: Re: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Вт июн 05, 2012 13:45 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
а у Вас случаем нет стоящего рядом сервера DEPO?

у нас просто была ситуация.. когда ARP сыпались без остановки, включили другую сетевуху и все выровнялось, остается гадать в чем дело.. сетевуха там встроенная была от Intel
Вернуться наверх
 Профиль  
 
memnox
 Заголовок сообщения: Re: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Вт июн 05, 2012 13:50 
Не в сети

Зарегистрирован: Чт мар 05, 2009 11:53
Сообщений: 43
player84 писал(а):
а у Вас случаем нет стоящего рядом сервера DEPO?

у нас просто была ситуация.. когда ARP сыпались без остановки, включили другую сетевуху и все выровнялось, остается гадать в чем дело.. сетевуха там встроенная была от Intel


Сервера нет. Но судя по маку, это HTC, подключенный по вайфаю через точку доступа, которая воткнута в DFL-210.
Вернуться наверх
 Профиль  
 
memnox
 Заголовок сообщения: Re: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Пт июн 08, 2012 11:34 
Не в сети

Зарегистрирован: Чт мар 05, 2009 11:53
Сообщений: 43
В общем ARP тут не при чем. Тоннель все также падает 1-2 раза в день. Восстанавливается или сам, через полчаса-час, или после нескольких перезагрузок роутера.
Притом со стороны DFL-1600 в логах следующее:

Скрытый текст: показать
2012-06-08
12:22:02 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x366047f9, AH=0xd29351d4, IPComp=0x4f12d9f"
2012-06-08
12:22:02 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Invalid payload type" local_peer="10.0.0.1 ID No Id" remote_peer="10.0.0.2 ID No Id" initiator_spi="ESP=0x366047f9, AH=0xd29351d4, IPComp=0x4f12d9f0"
2012-06-08
12:22:02 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-08
12:22:02 Warning IPSEC
1800106


ike_invalid_payload
local_ip=10.0.0.1 remote_ip=10.0.0.2 cookies=f9476036d45193d2f0d9124f32e9bcfe reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"
2012-06-08
12:22:01 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcf5d19de, AH=0xd455bfc6, IPComp=0xe79d988"


"possibly because of different pre-shared keys" что це такое? Ключи одинаковые.

Со стороны DFL-210 про разные ключи ничего не написано, там просто "Invalid payload type":

Скрытый текст: показать
2012-06-01
17:19:57 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xd5ad6ff2, AH=0xd8101017, IPComp=0x5dba793"
2012-06-01
17:19:57 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Invalid payload type" local_peer="10.0.0.2 ID 10.0.0.2" remote_peer="10.0.0.1 ID No Id" initiator_spi="ESP=0xd5ad6ff2, AH=0xd8101017, IPComp=0x5dba793d"
2012-06-01
17:19:57 Warning IPSEC
1802715


event_on_ike_sa

side=Initiator msg="failed" int_severity=6
2012-06-01
17:19:57 Notice IPSEC
1800113


sa_lookup_failure
drop
source_ip=10.0.0.1 dest_ip=10.0.0.2 spi=93710c84 seq=4323 protocol=esp reason="ESP SA lookup failure"
2012-06-01
17:19:57 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x7e06cf18, AH=0xcc5600a1, IPComp=0x2ef4ac4"



Может нужно прошивку на DFL-1600 обновить?
Help me, plz!!
Вернуться наверх
 Профиль  
 
player84
 Заголовок сообщения: Re: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Пт июн 08, 2012 21:19 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
попробуйте просто пересоздать тунель, а перед этим обязательно обновите прошивки на актуальные
Вернуться наверх
 Профиль  
 
memnox
 Заголовок сообщения: Re: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Вт июн 26, 2012 09:28 
Не в сети

Зарегистрирован: Чт мар 05, 2009 11:53
Сообщений: 43
Поставил на первом роутере (DFL-1600) в настройках интерфейса ipsec: IKE XAuth -> Require IKE XAuth user authentication for inbound IPsec tunnels
Прошло 10 дней, полет нормальный... Прошивку обновлять не пришлось.
Спасибо саппорту за помощь.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: IPsec from DFL-210 to DFL-1600
СообщениеДобавлено: Ср июн 27, 2012 19:39 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Ошибки про ARP сами по себе не критичные в вашем случае
Чтобы понять, что не так, надо видеть логи, относящиеся к IPsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 415

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB