VPN при бездействии отваливается - Сети

Spawn_Minsk · 20.07.2005, 19:17

Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL
Клиенты: Winxp pro/ADSL/Брэндмауэр выкл

Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект.
на серваке - такая мессага:

Тип события: Предупреждение
Источник события: Rasman
Категория события: Отсутствует
Код события: 20209
Дата: 20.07.2005
Время: 15:56:40
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Связь между VPN-сервером и VPN-клиентом 82.209.219.20 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.

Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали)
пока что решается проблема так: ping 192.168.10.1 -l 1 -t (как временная панацея) но хотелось бы докопатся... у некоторых из клиентов такая проблема вообще не возникает... или возникает редко, но
В АДСЛ роутерах пробовали открывать порты служебные 4500, 500 по которым вродькак ВПН и работает - никак не влияет...

Идеи? или фсётаки мочить провайдеров?

xse15 · 21.07.2005, 03:24

Цитата:

Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали)

Менять таких провайдеров нужно...

А вообще-то очень похоже, что по дороге есть NAT c connection tracking'ом и у него, через некоторое время, при не активности клиента, удаляются записи из таблиц, что приводит к "обрыву" соединения.

Spawn_Minsk · 21.07.2005, 11:19

Цитата:

xse15:
по дороге есть NAT c connection tracking'ом

Может это закопано в АДСЛ роутерах? В Зухелях (престиж серия) кто нибудь ковырялся поглубже ?
В NAT Setup Энкапсуляция стоит ENET ENCAP... можно ли ее безболезненно менять? Кто нибудь подскажет? выбор : RFC 1483 / PPP / ENET ENCAP. Вроде как тип Энкапсуляции провайдер задает по идее.....

Цитата:

Menu 11.1 - Remote Node Profile

Rem Node Name=bnet
Route= IP
Active= Yes
Bridge= No

Encapsulation= ENET ENCAP
Edit IP/Bridge= No
Multiplexing= LLC-based
Edit ATM Options= No
Service Name= N/A
Incoming:
Telco Option:
Rem Login= N/A
Allocated Budget(min)= N/A
Rem Password= N/A
Period(hr)= N/A
Outgoing:
Schedule Sets= N/A
My Login= N/A
Nailed-Up Connection= N/A
My Password= N/A
Session Options:
Authen= N/A
Edit Filter Sets= No
Idle Timeout(sec)= N/A

Press ENTER to Confirm or ESC to Cancel:

23.07.2006, 10:33

Цитата:

Spawn_Minsk:
Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL
Клиенты: Winxp pro/ADSL/Брэндмауэр выкл
Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект.

Уважаемые, помогайте. У меня такая же проблема в точности. И роутер тоже зюхель престиж.
Здесь обсуждение на нет сошло, но может всетаки нашлось решение - тема то старая? Кого хоть рыть: провайдера, модем или винду???

25.07.2006, 09:38

Я конечно понимаю, что вопрос глупый, но...

А на клиентских машинах таймаут по неактивности на отключение не установлен, случайно?...
Я тут 2 сервера связывал, дык пока не установил на "постоянное соединение" имел траблы...

KomatoZo · 25.07.2006, 10:46

Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг.
Все остальное требует настройки железок и/или разговора с провайдером.

AndreyN · 26.07.2006, 20:37

На работе пользуюсь и ADSL и SHDSL. Ни тот ни другой глубоко не настраивал. Единственное, что прописал, кроем настроек сети так это VPI/VCI как 0 и 33. Как объяснили знающие это для работы на не надежных линиях. У нас это обычная телефонная пара. Скорость 2 мегабита и там и там. С родными настройками VPI/VCI модемы не начинали работать.
На SHDSL два модема лооб-в-лоб типа 791-х зюхелей, на ADSL с одной стороны стойка ES1008, а с другой Zyxel OMNI ADSL USB.

31.07.2006, 16:58

Цитата:

KomatoZo:
Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг.

А можно как то вычислить "неправильный NAT"? Или как то еще провайдеру доказать что ето его косяк...

KomatoZo · 31.07.2006, 17:45

Ну если провайдер настолько скотский, что ему нужно доказывать... Придется для начала разобраться как это дело все работает (IPSEc, VPN, NAT, PAT). А потом уже, с высоты свежеполученных знаний ему доказывать.
А лучше просто поговорить с тамошними админами по-человечески и объяснить что не работает. Но объяснять только в том случае, если сам уже уверен.
С пингами то лечится это дело?

02.08.2006, 11:25

Цитата:

KomatoZo:
С пингами то лечится это дело?

да лечится, только криво это

KomatoZo · 02.08.2006, 11:52

Ладно, пробуем попрямее...
Если адреа хотя бы одного из двух внешних интерфейсов находятся в приватных диапазонах, то по-любому присутствует NAT. - идете и пинаете провайдер до посинения. Говорите, что вам нужно то и то.
Если все адреса публичные, то на одном конце слушаете, а с другого посылаете те самые GRE-пакеты. Любыми подручными средствами. Если они не проходят, то опять-таки с этим фактом идете и тыкаете в лицо провайдеру. Но скорее всего, все-таки адреса где-то приватные. Я прав?

20.07.2005, 19:17	# 1
Spawn_Minsk Junior Member Регистрация: 04.03.2004 Адрес: Минск Сообщения: 50	VPN при бездействии отваливается Ситуяйцыя: Сервак Win 2k3/VPN стандартными средствами / ADSL Клиенты: Winxp pro/ADSL/Брэндмауэр выкл Все работает нормально.... но если VPN некоторое время (минут 5) не используется - пинги перестают проходить и спасает только реконнект. на серваке - такая мессага: Тип события: Предупреждение Источник события: Rasman Категория события: Отсутствует Код события: 20209 Дата: 20.07.2005 Время: 15:56:40 Пользователь: Н/Д Компьютер: SERVER Описание: Связь между VPN-сервером и VPN-клиентом 82.209.219.20 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком. Провайдеры - в отказ (они вообще про эти пакеты ни разу не слышали) пока что решается проблема так: ping 192.168.10.1 -l 1 -t (как временная панацея) но хотелось бы докопатся... у некоторых из клиентов такая проблема вообще не возникает... или возникает редко, но В АДСЛ роутерах пробовали открывать порты служебные 4500, 500 по которым вродькак ВПН и работает - никак не влияет... Идеи? или фсётаки мочить провайдеров?

25.07.2006, 10:46	# 6
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Проблема, как уже сказано, в том, что где-то по дороге стоит "неправильный NAT". Самое простое решение - раз в минуту пускать пинг. Все остальное требует настройки железок и/или разговора с провайдером. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

26.07.2006, 20:37	# 7
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	На работе пользуюсь и ADSL и SHDSL. Ни тот ни другой глубоко не настраивал. Единственное, что прописал, кроем настроек сети так это VPI/VCI как 0 и 33. Как объяснили знающие это для работы на не надежных линиях. У нас это обычная телефонная пара. Скорость 2 мегабита и там и там. С родными настройками VPI/VCI модемы не начинали работать. На SHDSL два модема лооб-в-лоб типа 791-х зюхелей, на ADSL с одной стороны стойка ES1008, а с другой Zyxel OMNI ADSL USB. __________________ собираем клики- пиксели -на уникальный домик imho.ws imho.ws/showthread.php?t=113817

31.07.2006, 17:45	# 9
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Ну если провайдер настолько скотский, что ему нужно доказывать... Придется для начала разобраться как это дело все работает (IPSEc, VPN, NAT, PAT). А потом уже, с высоты свежеполученных знаний ему доказывать. А лучше просто поговорить с тамошними админами по-человечески и объяснить что не работает. Но объяснять только в том случае, если сам уже уверен. С пингами то лечится это дело? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

02.08.2006, 11:52	# 11
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Ладно, пробуем попрямее... Если адреа хотя бы одного из двух внешних интерфейсов находятся в приватных диапазонах, то по-любому присутствует NAT. - идете и пинаете провайдер до посинения. Говорите, что вам нужно то и то. Если все адреса публичные, то на одном конце слушаете, а с другого посылаете те самые GRE-пакеты. Любыми подручными средствами. Если они не проходят, то опять-таки с этим фактом идете и тыкаете в лицо провайдеру. Но скорее всего, все-таки адреса где-то приватные. Я прав? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

25.07.2006, 09:38	# 5
imrav Guest Сообщения: n/a	Я конечно понимаю, что вопрос глупый, но... А на клиентских машинах таймаут по неактивности на отключение не установлен, случайно?... Я тут 2 сервера связывал, дык пока не установил на "постоянное соединение" имел траблы...