форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Cisco VPN Client"
Сообщение от Rey (??) on 03-Авг-05, 03:21  (MSK)
Привет всем, вообщем ситуация такая: - cisco 2600 (C2600-ADVIPSERVICESK9-M, 12.3(11)T3) - машина с WindowsXP SP1 и Cisco VPN Сlient'ом 4.6.03. Туннель должен быть поднят постоянно (типа 24/7/365 :))). Но на деле получается что за ночь (трафика нету) туннель подвисает, т.е. он виден как реально установленный, но при этом ничего по тунелю пройти не может. После очистки sa на cisco туннель подымается заново и все работает. Предположительно подвисание появляется после истечения isakmp lifetime. Включена поддержка DPD - но не помогает. Попытка симулировать ситуацию не привела к успеху - тунель работает как надо. Что можно посмотреть, подкрутить?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Cisco VPN Client"
Сообщение от serg (??) on 03-Авг-05, 10:35  (MSK)
Если sh crypto session или sh crypto isakmp sa показывают состояние ACTIVE, значит lifetime ни при чем и IKE работает. Ваш случай бывает, когда: 1. Клиент за NATом. 2. Клиент за stateful фаерволом. 3. Включена X-Auth. Что можно попробовать: 1. установить crypto isakmp keepalive и crypto isakmp nat keepalive 2. отключить X-Auth, тогда по истечении lifetime клиент сможет автоматически переустановить соединение. 3. Если есть NAT, то то разрешить udp-encapsulation. Это все, что сразу приходит в голову.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Cisco VPN Client"
	Сообщение от Rey (??) on 04-Авг-05, 02:08  (MSK)
	>Ваш случай бывает, когда: >1. Клиент за NATом. >2. Клиент за stateful фаерволом. >3. Включена X-Auth. 1. NAT'а нету, по сути клиент напрямую на serial 2. stateful фаервол - имеется ввиду в VPN Client'е? Включен, но без него в нашем варианте никак... 3. X-Auth включена. >Что можно попробовать: >1. установить crypto isakmp keepalive и crypto isakmp nat keepalive NAT'a нету, так что стоит: crypto isakmp keepalive 30 periodic >2. отключить X-Auth, тогда по истечении lifetime клиент сможет >автоматически переустановить соединение. Хм... вот это интересно :) Авторизация юзеров и групп идет через радиус. Если я правильно понял, то надо будет сделать preshared для них? >3. Если есть NAT, то то разрешить udp-encapsulation. отпадает >Это все, что сразу приходит в голову.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Cisco VPN Client"
	Сообщение от Rey (??) on 04-Авг-05, 07:19  (MSK)
	Подумал тут... касательно stateful фаервола... Например заканчивается isakmp lifetime. Если я правильно понимаю, то должна заново пройти первая фаза. Но кто инициатор этого? Если циска, то может фаервол на клиенте не пускает пакеты и новая sa не создается... а потом и первая удаляется... возможно такое?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Cisco VPN Client"
	Сообщение от serg (??) on 04-Авг-05, 13:43  (MSK)
	Ну если NATа нет, тогда понятно... Stateful firewall имелся ввиду промежуточный агрегат, выполняющий NAT. Встроенный в клиент вроде ни в чем таком замечен не был. Про X-AUTH. По истечении lifetime инициируется на только фаза 1, но и, разумеется фаза 2, причем циской. Фаза 1 проходит, создается туннель на preshared-keys (пароль группы) и начинается X-AUTH с приглашением ввести учетку. Потом идет фаза 2. Т.к. ночью ввести учетку некому - X-AUTH отваливается по тайм-ауту. Т.е. фаза 1 прошла, а фаза 2 -нет. Поэтому, ежели отключить X-AUTH и оставить тока авторизацию групп - соединение должно переустанавливать автоматически без участия юзера. Если, конечно, подходит такой вариант. Можно попробовать дать с Радиуса cisco-avpair = “ipsec:save-password=1” для пользователя. Не знаю, поможет ли, не пробовал. Софтовый клиент не предназначен для круглосуточного коннекта по определению.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Cisco VPN Client"
	Сообщение от Rey (??) on 05-Авг-05, 02:35  (MSK)
	>Ну если NATа нет, тогда понятно... >Stateful firewall имелся ввиду промежуточный агрегат, выполняющий NAT. Встроенный в клиент вроде >ни в чем таком замечен не был. > ок, учтем при разборе полетов :) ><..skip..> >Можно попробовать дать с Радиуса cisco-avpair = “ipsec:save-password=1” для пользователя. Не знаю, >поможет ли, не пробовал. параметр уже прописан...а можно и без него на клиенте в профиле прописать  сохранение пароля вне зависимости от того что говорит циска :) так что запросов при установке соединения клиент вообще не выводит, тупо соединяется и все :) >Софтовый клиент не предназначен для круглосуточного коннекта >по определению. это-то ясно... а чем еще можно с WindowsXP поднять тунель с циской?..
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.