URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16593
[ Назад ]
Исходное сообщение
"IPSec и обрыв соеденения."
Отправлено VAMPiR , 25-Июн-08 16:53 
Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco 1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя внутреняя сетка которая пускается в мою сеть и работает с ней, есть одно но, если есть окно простоя канала (20-30 минут) тунель падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает, однако ни пинг ни что либо иное в сторону клиента не идет пока не сделать запрос с той стороны в мою сеть (допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно? Заранее спасибо за любую помощь.
Содержание
Сообщения в этом обсуждении
"IPSec и обрыв соеденения."
Отправлено SergTel , 25-Июн-08 17:16 
>Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение
>между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco
>1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя
>внутреняя сетка которая пускается в мою сеть и работает с ней,
>есть одно но, если есть окно простоя канала (20-30 минут) тунель
>падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает,
>однако ни пинг ни что либо иное в сторону клиента не
>идет пока не сделать запрос с той стороны в мою сеть
>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>Заранее спасибо за любую помощь.

а конфиги глянуть можно?


"IPSec и обрыв соеденения."
Отправлено ilya , 26-Июн-08 09:47 
>Кто поможет? Уже давно борюсь с етой проблемой. Есть IPSec VPN соеденение
>между кошками, на стороне хаба Cisco 2821, на стороне клиента Cisco
>1841. Поднимается тунель криптомапами по IPSec ISAKMP, естественно там есть своя
>внутреняя сетка которая пускается в мою сеть и работает с ней,
>есть одно но, если есть окно простоя канала (20-30 минут) тунель
>падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает,
>однако ни пинг ни что либо иное в сторону клиента не
>идет пока не сделать запрос с той стороны в мою сеть
>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>Заранее спасибо за любую помощь.

смотреть в сторону временных параметров (задаются в криптомапе)
set security-association lifetime seconds
set security-association idle-time

"IPSec и обрыв соеденения."
Отправлено VAMPiR , 26-Июн-08 11:23 
>[оверквотинг удален]
>>есть одно но, если есть окно простоя канала (20-30 минут) тунель
>>падает, вернее падает обмен пакетами, по состоянию тунель поднят и работает,
>>однако ни пинг ни что либо иное в сторону клиента не
>>идет пока не сделать запрос с той стороны в мою сеть
>>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>>Заранее спасибо за любую помощь.
>
>смотреть в сторону временных параметров (задаются в криптомапе)
> set security-association lifetime seconds
> set security-association idle-time

Это я знаю... игрался но не помогло ( Бесконечность можно задать ими как-то? )

"IPSec и обрыв соеденения."
Отправлено SergTel , 26-Июн-08 14:41 
>[оверквотинг удален]
>>>идет пока не сделать запрос с той стороны в мою сеть
>>>(допустим пинг). Как можно подобное побороть и сделать соеденение стабильным постоянно?
>>>Заранее спасибо за любую помощь.
>>
>>смотреть в сторону временных параметров (задаются в криптомапе)
>> set security-association lifetime seconds
>> set security-association idle-time
>
>Это я знаю... игрался но не помогло ( Бесконечность можно задать ими
>как-то? )

Создай не динамический, а статический туннель и шифруй данные проходящие по нему.
таким образом избежишь проблем. Как альтернатива запускать процесс посыла icmp пакетов через тайм-аут


"IPSec и обрыв соеденения."
Отправлено VAMPiR , 26-Июн-08 15:01 
>[оверквотинг удален]
>>> set security-association lifetime seconds
>>> set security-association idle-time
>>
>>Это я знаю... игрался но не помогло ( Бесконечность можно задать ими
>>как-то? )
>
>Создай не динамический, а статический туннель и шифруй данные проходящие по нему.
>
>таким образом избежишь проблем. Как альтернатива запускать процесс посыла icmp пакетов через
>тайм-аут

Никогда их неделал ( а есть сылочки на примеры и описание?

"IPSec и обрыв соеденения."
Отправлено SergTel , 27-Июн-08 09:19 
>
>Никогда их неделал ( а есть сылочки на примеры и описание?

на что конкретно?
как туннель создать или как пакеты слать?

"IPSec и обрыв соеденения."
Отправлено VAMPiR , 27-Июн-08 11:13 
>>
>>Никогда их неделал ( а есть сылочки на примеры и описание?
>
>на что конкретно?
>как туннель создать или как пакеты слать?

Создание тунеля с отправкой шифрованных данных.

"IPSec и обрыв соеденения."
Отправлено SergTel , 27-Июн-08 11:48 
>>>
>>>Никогда их неделал ( а есть сылочки на примеры и описание?
>>
>>на что конкретно?
>>как туннель создать или как пакеты слать?
>
>Создание тунеля с отправкой шифрованных данных.

все просто поднимаешь интерфейс туннель
адрес самого интерфейса
адрес начала туннеля
адрес конца туннеля
MTU
и прикручиваешь криптокарту
пример и описание:
http://www.cisco.com/en/US/docs/ios/12_2/interface/configura...

если есть динамика то адрес конца туннеля надо прописать статикой как хост через интерфейс
иначе при поднятии маршрута туннель будет падать т.к. появиться рекурсия

Вот пример моего кусочка конфига с 2620xm пашет уже 2 года

делал чтоб пробросить коммерческие данные

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map CMAP_3 1 ipsec-isakmp
description Tunnel to Vodozabor
set peer 192.168.88.177
set transform-set ESP-3DES-SHA
match address 100
!
!
!        
!
interface Null0
no ip unreachables
!
interface Tunnel0
bandwidth 2000
ip address 192.168.56.174 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1420
ip route-cache flow
ip tcp adjust-mss 1360
tunnel source FastEthernet0/0.4
tunnel destination 192.168.88.177
crypto map CMAP_3