alexMD

спасибо за информацию, но физически отключение было более чем 300 секунд, фактически порядка 10 минут непосредственно без физического линка и + еще некоторое время пока тестировался туннель. Во время тестов траффика между устройствами в туннеле небыло и циска начинала отсылать свои DPD пакеты и получала ответы, но вот со стороны MOXA пакетов небыло.

более детальные исследования показали что, МОХА отвечает на DPD запросы, НО сама их не отсылает - в результате при обрыве соединения удаленная сторона удаляет туннель после пропадания связи, а МОХА продолжает считать туннель рабочим. Из этого зависшего состояния ее может вывести только перезагрузка или смена ключевого материала. В итоге удалось получить или туннель который может надолго подвиснеть или туннель у которого очень часто происходят регулярная смена ключевого материала( и как следствие обрыв связи).

Высылаю настройки ASA, ту часть где упоминается о функции DPD для входящего соединения от МОХА tunnel-group DefaultL2LGroup type ipsec-l2l tunnel-group DefaultL2LGroup general-attributes no accounting-server-group default-group-policy DfltGrpPolicy tunnel-group DefaultL2LGroup ipsec-attributes ikev1 pre-shared-key peer-id-validate req no chain no ikev1 trust-point isakmp keepalive threshold 10 retry 2 no ikev2 remote-authentication no ikev2 local-authentication с такими настройкам ( по умолчанию) при соединении между ASA-ASA или ASA-DFL функция DPD работает настройки МОХА [VPN Settings] VPN index #1=1 VPN enable #1=1 VPN tunnel mode #1=2 VPN remote endpoint IP or hostname #1=10.1.1.1 VPN remote subnet IP #1=172.16.0.0 VPN remote subnet netmask #1=255.255.0.0 VPN local subnet IP #1=10.61.0.0 VPN local subnet netmask #1=255.255.0.0 VPN incoming spi #1=3002 VPN incoming encryption mode #1=1 VPN incoming encryption key #1= VPN incoming authentication mode #1=1 VPN incoming authentication key #1= VPN outgoing spi #1=4002 VPN outgoing encryption mode #1=1 VPN outgoing encryption key #1= VPN outgoing authentication mode #1=1 VPN outgoing authentication key #1= VPN Pre-Shared key #1=protomoto VPN perfect forward secrecy #1=1 VPN ID type #1=0 VPN ID IP or FQDN #1= VPN operation mode #1=1 VPN NAT traversal #1=1 VPN Phase 1 encryption mode #1=1 VPN Phase 1 authentication mode #1=2 VPN Phase 1 Diffie-Hellman group #1=1 VPN Phase 1 SA lifetime #1=1000 VPN Phase 2 encryption mode #1=1 VPN Phase 2 authentication mode #1=2 VPN Phase 2 Diffie-Hellman group #1=2 VPN Phase 2 SA lifetime #1=900 VPN Adv. Anti-replay #1=1 VPN Adv. dead peer detection #1=1

Добрый день, при организации VPN туннеля между оборудованием (МОХА OnCell 5104-HSPA FW 1.1 Build 13012819) и cisco ASA 9.0(1) возникли проблемы с функцией DPD. Был собран стенд на котором MOXA и ASA были подсоединены напрямую между собой и был поднят туннель VPN. Все работало нормально, но выяснилось что после физического отсоединения кабеля (600 секунд ) VPN туннель на MOXA продолжал существовать, в логах не отображалось информации о отключении туннеля, только об отключении интерфейса. После подключения обратно MOXA продолжала работать с согласованными ранее настройками туннеля, ASA при этом уже сбрасывала настройки ( что косвенно подтверждает работу DPD на ASA) . Основываясь на вышеизложенном эксперименте я сделал вывод что по каким то причинам функция DPD на устройствах не отрабатывает. Проверил включение данной функции- она включена на обоих устройствах. К сожалению в документации не указаны настройки таймеров для данной функции. Данные настройки чрезвычайно важны для работы нашей схемы так как MOXA находится на удаленном объекте на котором можно использовать только 3G подключение которое не отличается стабильностью. В результате сбоев в сети VPN туннель не сможет быстро и стабильно подниматься. Резюмируя вышесказанное хочу задать вопросы 1) какие значения имеют таймеры DPD ? 2) какова логика работы данной функции ( насколько она отличается от RFC3706 )? 3) что посоветуете предпринять в данной ситуации ?

Добрый день, необходима ваша консультация по оборудования МОХА OnCell 5104-HSPA FW 1.1 Build 13012819. Данное устройство используем для установки VPN туннеля из удаленного сайта в центральный офис. В центральном офисе маршрутизатор имеет подключения к нескольким провайдерам сети Internet, но к сожалению Ваше оборудование поддерживает только 1 IP адрес. Вместо адреса есть возможность использовать имя хоста которое можно динамически разрешать в IP адрес посредством DNS сервера, но , к сожалению, из документации неясно поведения устройства МОХА OnCell в случае когда DNS сервер передаст несколько IP адресов. Не могли бы Вы прояснить данный момент. Возможно есть какие то иные возможности осуществлять переключение VPN туннеля на основной.резервный IP адреса на другой стороне туннеля.