VPN при бездействии отваливается

[Spawn_Minsk]

Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL
Клиенты: Winxp pro/ADSL/Брэндмауэр выкл

Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект.
на серваке - такая мессага:

Тип события: Предупреждение
Источник события: Rasman
Категория события: Отсутствует
Код события: 20209
Дата: 20.07.2005
Время: 15:56:40
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Связь между VPN-сервером и VPN-клиентом 82.209.219.20 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.


Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали)
пока что решается проблема так: ping 192.168.10.1 -l 1 -t (как временная панацея) но хотелось бы докопатся... у некоторых из клиентов такая проблема вообще не возникает... или возникает редко, но
В АДСЛ роутерах пробовали открывать порты служебные 4500, 500 по которым вродькак ВПН и работает - никак не влияет...

Идеи? или фсётаки мочить провайдеров?

[xse15]

Цитата:

Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали)

Менять таких провайдеров нужно...

А вообще-то очень похоже, что по дороге есть NAT c connection tracking'ом и у него, через некоторое время, при не активности клиента, удаляются записи из таблиц, что приводит к "обрыву" соединения.

[Spawn_Minsk]

Цитата:

xse15:
по дороге есть NAT c connection tracking'ом

Может это закопано в АДСЛ роутерах? В Зухелях (престиж серия) кто нибудь ковырялся поглубже ?
В NAT Setup Энкапсуляция стоит ENET ENCAP... можно ли ее безболезненно менять? Кто нибудь подскажет? выбор : RFC 1483 / PPP / ENET ENCAP. Вроде как тип Энкапсуляции провайдер задает по идее.....

Цитата:

Menu 11.1 - Remote Node Profile

Rem Node Name=bnet
Route= IP
Active= Yes
Bridge= No

Encapsulation= ENET ENCAP
Edit IP/Bridge= No
Multiplexing= LLC-based
Edit ATM Options= No
Service Name= N/A
Incoming:
Telco Option:
Rem Login= N/A
Allocated Budget(min)= N/A
Rem Password= N/A
Period(hr)= N/A
Outgoing:
Schedule Sets= N/A
My Login= N/A
Nailed-Up Connection= N/A
My Password= N/A
Session Options:
Authen= N/A
Edit Filter Sets= No
Idle Timeout(sec)= N/A


Press ENTER to Confirm or ESC to Cancel:

Цитата:

Spawn_Minsk:
Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL
Клиенты: Winxp pro/ADSL/Брэндмауэр выкл
Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект.

Уважаемые, помогайте. У меня такая же проблема в точности. И роутер тоже зюхель престиж.
Здесь обсуждение на нет сошло, но может всетаки нашлось решение - тема то старая? Кого хоть рыть: провайдера, модем или винду???

Я конечно понимаю, что вопрос глупый, но...

А на клиентских машинах таймаут по неактивности на отключение не установлен, случайно?...
Я тут 2 сервера связывал, дык пока не установил на "постоянное соединение" имел траблы...

[KomatoZo]

Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг.
Все остальное требует настройки железок и/или разговора с провайдером.

[AndreyN]

На работе пользуюсь и ADSL и SHDSL. Ни тот ни другой глубоко не настраивал. Единственное, что прописал, кроем настроек сети так это VPI/VCI как 0 и 33. Как объяснили знающие это для работы на не надежных линиях. У нас это обычная телефонная пара. Скорость 2 мегабита и там и там. С родными настройками VPI/VCI модемы не начинали работать.
На SHDSL два модема лооб-в-лоб типа 791-х зюхелей, на ADSL с одной стороны стойка ES1008, а с другой Zyxel OMNI ADSL USB.

Цитата:

KomatoZo:
Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг.

А можно как то вычислить "неправильный NAT"? Или как то еще провайдеру доказать что ето его косяк...

[KomatoZo]

Ну если провайдер настолько скотский, что ему нужно доказывать... Придется для начала разобраться как это дело все работает (IPSEc, VPN, NAT, PAT). А потом уже, с высоты свежеполученных знаний ему доказывать.
А лучше просто поговорить с тамошними админами по-человечески и объяснить что не работает. Но объяснять только в том случае, если сам уже уверен.
С пингами то лечится это дело?

Цитата:

KomatoZo:
С пингами то лечится это дело?

да лечится, только криво это

[KomatoZo]

Ладно, пробуем попрямее...
Если адреа хотя бы одного из двух внешних интерфейсов находятся в приватных диапазонах, то по-любому присутствует NAT. - идете и пинаете провайдер до посинения. Говорите, что вам нужно то и то.
Если все адреса публичные, то на одном конце слушаете, а с другого посылаете те самые GRE-пакеты. Любыми подручными средствами. Если они не проходят, то опять-таки с этим фактом идете и тыкаете в лицо провайдеру. Но скорее всего, все-таки адреса где-то приватные. Я прав?