alexMD Posted December 2, 2013 Share Posted December 2, 2013 Добрый день, при организации VPN туннеля между оборудованием (МОХА OnCell 5104-HSPA FW 1.1 Build 13012819) и cisco ASA 9.0(1) возникли проблемы с функцией DPD. Был собран стенд на котором MOXA и ASA были подсоединены напрямую между собой и был поднят туннель VPN. Все работало нормально, но выяснилось что после физического отсоединения кабеля (600 секунд ) VPN туннель на MOXA продолжал существовать, в логах не отображалось информации о отключении туннеля, только об отключении интерфейса. После подключения обратно MOXA продолжала работать с согласованными ранее настройками туннеля, ASA при этом уже сбрасывала настройки ( что косвенно подтверждает работу DPD на ASA) . Основываясь на вышеизложенном эксперименте я сделал вывод что по каким то причинам функция DPD на устройствах не отрабатывает. Проверил включение данной функции- она включена на обоих устройствах. К сожалению в документации не указаны настройки таймеров для данной функции. Данные настройки чрезвычайно важны для работы нашей схемы так как MOXA находится на удаленном объекте на котором можно использовать только 3G подключение которое не отличается стабильностью. В результате сбоев в сети VPN туннель не сможет быстро и стабильно подниматься. Резюмируя вышесказанное хочу задать вопросы 1) какие значения имеют таймеры DPD ? 2) какова логика работы данной функции ( насколько она отличается от RFC3706 )? 3) что посоветуете предпринять в данной ситуации ? Link to comment
Agibalov Posted December 4, 2013 Share Posted December 4, 2013 Здравствуйте! Пришлите, пожалуйста, настройки ASA и OnCell. Link to comment
alexMD Posted December 6, 2013 Author Share Posted December 6, 2013 Высылаю настройки ASA, ту часть где упоминается о функции DPD для входящего соединения от МОХА tunnel-group DefaultL2LGroup type ipsec-l2l tunnel-group DefaultL2LGroup general-attributes no accounting-server-group default-group-policy DfltGrpPolicy tunnel-group DefaultL2LGroup ipsec-attributes ikev1 pre-shared-key peer-id-validate req no chain no ikev1 trust-point isakmp keepalive threshold 10 retry 2 no ikev2 remote-authentication no ikev2 local-authentication с такими настройкам ( по умолчанию) при соединении между ASA-ASA или ASA-DFL функция DPD работает настройки МОХА [VPN Settings] VPN index #1=1 VPN enable #1=1 VPN tunnel mode #1=2 VPN remote endpoint IP or hostname #1=10.1.1.1 VPN remote subnet IP #1=172.16.0.0 VPN remote subnet netmask #1=255.255.0.0 VPN local subnet IP #1=10.61.0.0 VPN local subnet netmask #1=255.255.0.0 VPN incoming spi #1=3002 VPN incoming encryption mode #1=1 VPN incoming encryption key #1= VPN incoming authentication mode #1=1 VPN incoming authentication key #1= VPN outgoing spi #1=4002 VPN outgoing encryption mode #1=1 VPN outgoing encryption key #1= VPN outgoing authentication mode #1=1 VPN outgoing authentication key #1= VPN Pre-Shared key #1=protomoto VPN perfect forward secrecy #1=1 VPN ID type #1=0 VPN ID IP or FQDN #1= VPN operation mode #1=1 VPN NAT traversal #1=1 VPN Phase 1 encryption mode #1=1 VPN Phase 1 authentication mode #1=2 VPN Phase 1 Diffie-Hellman group #1=1 VPN Phase 1 SA lifetime #1=1000 VPN Phase 2 encryption mode #1=1 VPN Phase 2 authentication mode #1=2 VPN Phase 2 Diffie-Hellman group #1=2 VPN Phase 2 SA lifetime #1=900 VPN Adv. Anti-replay #1=1 VPN Adv. dead peer detection #1=1 Link to comment
alexMD Posted December 10, 2013 Author Share Posted December 10, 2013 более детальные исследования показали что, МОХА отвечает на DPD запросы, НО сама их не отсылает - в результате при обрыве соединения удаленная сторона удаляет туннель после пропадания связи, а МОХА продолжает считать туннель рабочим. Из этого зависшего состояния ее может вывести только перезагрузка или смена ключевого материала. В итоге удалось получить или туннель который может надолго подвиснеть или туннель у которого очень часто происходят регулярная смена ключевого материала( и как следствие обрыв связи). Link to comment
Timoshuk Posted December 16, 2013 Share Posted December 16, 2013 Здравствуйте! В руководстве пользователя на стр. 54 дано следующее описание работы DPD в OnCell 5104: "Dead Peer Detection (DPD) (default = Disable): Enable or disable the Dead Peer Detection. DPD is a method of detecting a dead Internet Key Exchange (IKE) peer. It sends a DPD packet to the peer every 60 seconds under no traffic and attempt to connect normally. If the DPD packet fails 5 times the VPN will continuously re-establish a connection" Link to comment
alexMD Posted December 20, 2013 Author Share Posted December 20, 2013 спасибо за информацию, но физически отключение было более чем 300 секунд, фактически порядка 10 минут непосредственно без физического линка и + еще некоторое время пока тестировался туннель. Во время тестов траффика между устройствами в туннеле небыло и циска начинала отсылать свои DPD пакеты и получала ответы, но вот со стороны MOXA пакетов небыло. Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now