Ситуация следующая: есть циска 2800 (Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(24)T2, RELEASE SOFTWARE (fc2)), которая работает в режиме клиента L2TP over IPSEC.
Все работает, но L2TP-линк падает после регенерации ключей, потом (через несколько минут) поднимается...
Ситуация следующая: есть циска 2800 (Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(24)T2, RELEASE SOFTWARE (fc2)), которая работает в режиме клиента L2TP over IPSEC.
Все работает, но L2TP-линк падает после регенерации ключей, потом (через несколько минут) поднимается...
Мисье знает толк в извращениях? L2TP поверх IPSEC, другими словами шифрованную сеть пуская в шифрованной сети? Я нечего не перепутал?
L2TP поверх IPSEC, другими словами шифрованную сеть пуская в шифрованной сети? Я нечего не перепутал?
в L2TP есть шифрование? но в данном случае это не важно
есть L2TP+IPSEC-сервер к которому нужно подключить циску
есть проблема: при истечении срока жизни ключей линк падает
нужна помощь в решении данной проблемы
сервер трогать нельзя, т.к. там работает еще не один тунель
просто циску в режиме клиента L2TP+IPSEC настраивать еще не приходилось
мыслей, кроме заблаговременной генерации новых ключей, уже нет...а как это сделать незнаю
L2TP+IPSEC Гугл четко дает ответ что это все для построения VPN сетей. Зачем заворачивать одно в другое я не понимаю. Если это банк тогда привет грабли
Извини помочь не могу так как киску не крутил.
lifetime 1800 - 1800 это секунды(или 30 минут)
crypto isakmp policy lifetime integer value (86400 = default) 120 to 2147483647 seconds
lifetime 1800 - 1800 это секунды(или 30 минут)
да, 30 минут такое-же значение на сервере и вот каждые почаса линк падает
lifetime 1800 - 1800 это секунды(или 30 минут)
да, 30 минут такое-же значение на сервере и вот каждые почаса линк падает
Если такое же значение и на сервере, тебе это мало поможет. Сервер делает тоже самое со своей стороны. И переподнять линк с новыми сертификатами не положив старый просто не возможно.
ну так измени 1800 на 86400 и будет падать раз в сутки или еще больше поставь
а разве лайф-таймы у клиента и сервера совпадать не должны?
Самый простой способ держать соединение живым - включить на центральной циске ntp master, а на остальных клиента. Тогда не будет от инактивности падать.
Канал падает от смены ключей, а не от неактивности..
Я там и кип-аливы включал, и СЛА поднимал...пофик...
Полчаса закончиилось - канал упал
Ну, кто знает У меня была похожая проблема и падало как-раз из-за инактивности. IPSec не может падать из-за регенерации ключей, если параметры на обоих концах совпадают. Я бы debug включил и посмотрел - что именно падает. На всякий случай, еще можно посмотреть "Lifetime remaining", через sh isakmp sa detail, на клиенте и сервере.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
У меня была похожая проблема и падало как-раз из-за инактивности.
