IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Сети (http://www.imho.ws/forumdisplay.php?f=145)
-   -   VPN при бездействии отваливается (http://www.imho.ws/showthread.php?t=89574)

Spawn_Minsk 20.07.2005 20:17
VPN при бездействии отваливается
 
Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL
Клиенты: Winxp pro/ADSL/Брэндмауэр выкл

Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект.
на серваке - такая мессага:

Тип события: Предупреждение
Источник события: Rasman
Категория события: Отсутствует
Код события: 20209
Дата: 20.07.2005
Время: 15:56:40
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Связь между VPN-сервером и VPN-клиентом 82.209.219.20 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.


Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали)
пока что решается проблема так: ping 192.168.10.1 -l 1 -t (как временная панацея) но хотелось бы докопатся... у некоторых из клиентов такая проблема вообще не возникает... или возникает редко, но
В АДСЛ роутерах пробовали открывать порты служебные 4500, 500 по которым вродькак ВПН и работает - никак не влияет...

Идеи? или фсётаки мочить провайдеров?

xse15 21.07.2005 04:24
Цитата:
Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали)
Менять таких провайдеров нужно... :)

А вообще-то очень похоже, что по дороге есть NAT c connection tracking'ом и у него, через некоторое время, при не активности клиента, удаляются записи из таблиц, что приводит к "обрыву" соединения.

Spawn_Minsk 21.07.2005 12:19
Цитата:
xse15:
по дороге есть NAT c connection tracking'ом
Может это закопано в АДСЛ роутерах? В Зухелях (престиж серия) кто нибудь ковырялся поглубже ?
В NAT Setup Энкапсуляция стоит ENET ENCAP... можно ли ее безболезненно менять? Кто нибудь подскажет? выбор : RFC 1483 / PPP / ENET ENCAP. Вроде как тип Энкапсуляции провайдер задает по идее.....

Цитата:
Menu 11.1 - Remote Node Profile

Rem Node Name=bnet
Route= IP
Active= Yes
Bridge= No

Encapsulation= ENET ENCAP
Edit IP/Bridge= No
Multiplexing= LLC-based
Edit ATM Options= No
Service Name= N/A
Incoming:
Telco Option:
Rem Login= N/A
Allocated Budget(min)= N/A
Rem Password= N/A
Period(hr)= N/A
Outgoing:
Schedule Sets= N/A
My Login= N/A
Nailed-Up Connection= N/A
My Password= N/A
Session Options:
Authen= N/A
Edit Filter Sets= No
Idle Timeout(sec)= N/A


Press ENTER to Confirm or ESC to Cancel:

gorlov 23.07.2006 11:33
Та же проблема :(
 
Цитата:
Spawn_Minsk:
Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL
Клиенты: Winxp pro/ADSL/Брэндмауэр выкл
Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект.
Уважаемые, помогайте. У меня такая же проблема в точности. И роутер тоже зюхель престиж.
Здесь обсуждение на нет сошло, но может всетаки нашлось решение - тема то старая? Кого хоть рыть: провайдера, модем или винду???

imrav 25.07.2006 10:38
Я конечно понимаю, что вопрос глупый, но...

А на клиентских машинах таймаут по неактивности на отключение не установлен, случайно?...
Я тут 2 сервера связывал, дык пока не установил на "постоянное соединение" имел траблы...

KomatoZo 25.07.2006 11:46
Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг.
Все остальное требует настройки железок и/или разговора с провайдером.

AndreyN 26.07.2006 21:37
На работе пользуюсь и ADSL и SHDSL. Ни тот ни другой глубоко не настраивал. Единственное, что прописал, кроем настроек сети так это VPI/VCI как 0 и 33. Как объяснили знающие это для работы на не надежных линиях. У нас это обычная телефонная пара. Скорость 2 мегабита и там и там. С родными настройками VPI/VCI модемы не начинали работать.
На SHDSL два модема лооб-в-лоб типа 791-х зюхелей, на ADSL с одной стороны стойка ES1008, а с другой Zyxel OMNI ADSL USB.

gorlov 31.07.2006 17:58
Цитата:
KomatoZo:
Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг.
А можно как то вычислить "неправильный NAT"? Или как то еще провайдеру доказать что ето его косяк...

KomatoZo 31.07.2006 18:45
Ну если провайдер настолько скотский, что ему нужно доказывать... Придется для начала разобраться как это дело все работает (IPSEc, VPN, NAT, PAT). А потом уже, с высоты свежеполученных знаний ему доказывать.
А лучше просто поговорить с тамошними админами по-человечески и объяснить что не работает. Но объяснять только в том случае, если сам уже уверен.
С пингами то лечится это дело?

gorlov 02.08.2006 12:25
Цитата:
KomatoZo:
С пингами то лечится это дело?
да лечится, только криво это

KomatoZo 02.08.2006 12:52
Ладно, пробуем попрямее...
Если адреа хотя бы одного из двух внешних интерфейсов находятся в приватных диапазонах, то по-любому присутствует NAT. - идете и пинаете провайдер до посинения. Говорите, что вам нужно то и то.
Если все адреса публичные, то на одном конце слушаете, а с другого посылаете те самые GRE-пакеты. Любыми подручными средствами. Если они не проходят, то опять-таки с этим фактом идете и тыкаете в лицо провайдеру. Но скорее всего, все-таки адреса где-то приватные. Я прав?


Часовой пояс GMT +4, время: 22:30.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.