none
Падает VPN-туннель RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Ситуация. Необходимо сделать VPN site-to-site между TMG и Dlink DI804HV. Настройки сделали, как указано в статье Создание туннеля

    Все работает, НО. В период от 4 до 10 минут туннель падает. Причем, по логам - падает со стороны Dlink. Я уж было начал грешить на него, но тут попробовал сделать туннель с другой нашей точкой (ISA2006 <-> Dlink 804). И он уже 2 часа как стабильно держится.. Как говорится, "это жжж неспроста". Логически, можно предположить, что проблема где-то на стороне TMG, но вот где.. Причем, этот же TMG держит 5 VPN site-to-site с другими TMG и ISA2006. А вот устойчиво держать с Dlink не хочет.

    Версия TMG 2010 - 7.0.9193.540

    Кто подскажет, в какую сторону "копать" ? При необходимости, скрины и логи могу предоставить. 


    16 июля 2013 г. 10:30

Все ответы

  • Здравствуйте Дмитрий,

    В данной дискуссии упоминаются несколько вариантов решения, посмотрите, может какое-то подойдет для Вас и отпишитесь, пожалуйста:

    Нет соединения между офисами после site-2-site VPN


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    18 июля 2013 г. 10:59
  • Я читал эту ветку еще до того, как написал сюда. Проблема в том, что в той ветке указана слегка другая проблема. А решения - на основе опыта работы не с TMG 2010, а с ISA 2006, с которой, как я написал, канал VPN держится довольно устойчиво. Лично у меня ощущения примерно следующие:

    1. Первый раз канал поднимается.

    2. Потом, на уже имеющемся канале, не получается синхронизировать время для смены ключей IPSec.

    3. Канал "падает".

    4. Потом на "физическом" уровне канал поднимается, но не работает на уровне шифрования и обмена ключами 

    Вот </iframe>">скрин того, что на роутере.

    Но это мое мнение. Опять же, подобных проблем на ISA 2006 не выявлено... 

    Почитаю еще в "сторону" мониторинга IKE, как здесь

    Может быть, будет ясность какая-то...

    18 июля 2013 г. 12:33
  • Добрый день, коллеги!

    Сегодня почитав умные статьи, решил поставить режим аудита на события IPSec. После установки данной политики аудита - в лог стали "сыпаться" интересные вещи:

    Имя журнала:   Security
    Источник:      Microsoft-Windows-Security-Auditing
    Дата:          19.07.2013 9:31:49
    Код события:   4654
    Категория задачи:Быстрый режим IPsec
    Уровень:       Сведения
    Ключевые слова:Аудит отказа
    Пользователь:  Н/Д
    Компьютер:     srvgate.domain.local
    Описание:
    Сбой согласования быстрого режима IPsec.
    
    Локальная конечная точка:
    	Сетевой адрес:	y.y.y.y
    	Маска сетевого адреса:	0.0.0.0
    	Порт:			0
    	Конечная точка туннеля:		y.y.y.y
    
    Удаленная конечная точка:
    	Сетевой адрес:	192.168.33.0
    	Маска адреса:		255.255.255.0
    	Порт:			0
    	Конечная точка туннеля:		x.x.x.X
    	Частный адрес:		0.0.0.0
    
    Дополнительные сведения:
    	Протокол:		0
    	Имя модуля ключей:	IKEv1
    	Код туннеля виртуального интерфейса:	0
    	Код селектора трафика:	0
    	Режим:			Туннель
    	Роль:			Инициатор
    	Код фильтра быстрого режима:	519222
    	Код SA основного режима:	5763
    
    Сведения об ошибке:
    	Состояние:			Отправленные первые полезные данные (SA)
    	Код сообщения:		2147483648
    	Точка ошибки:		локальный компьютер
    	Причина ошибки:		Вероятно, SA основного режима недопустимо, поскольку другой участник соединения не отвечает.
    

    Надеюсь, понятно, что x.x.x.x и y.y.y.y заменены в целях соблюдения безопасности.

    Причем, подобная ошибка появляется в логах довольно часто. Т.е. TMG по каким-то причинам не может согласовать быстрый режим работы IPSec при работе с Dlink. Но основной режим работы IPSec работает успешно. Как я предполагаю, после определенного количества сбоев работы быстрого режима - туннель просто отключается.

    Решил сделать как указано здесь. Сервер не перегружал еще. Каков будет результат - пока не знаю. Но без перезагрузки - ситуация не изменилась.

    Пока я вижу проблему только в этом. Если это не так - направьте на путь истинный.

    19 июля 2013 г. 5:42
  • Добрый день, коллеги!

    Продолжаю свое "шоу". После внесения изменений в настройку и перезагрузку TMG - проблема не исчезла. Более того - попробовали создать VPN между другой TMG (на другой объекте) и Dlink. Думали, может проблема именно в нашей версии TMG или ее настройках. Однако, ситуация там тоже не изменилась.

    Резюме:

    VPN TMG <-> Dlink - крайне нестабилен и держится около 15 минут максимум

    VPN ISA 2006 <-> Dlink - стабилен, держится долгое время (сколько не засекал, но точно более 2-х часов)

    У кого какие мысли, коллеги ?

    22 июля 2013 г. 7:49
  • Добрый день всем, кто пытается следить за вестями с фронта борьбы между Dlink и TMG :)

    Ситуация слегка изменилась. 

    Более того - попробовали создать VPN между другой TMG (на другой объекте) и Dlink. Думали, может проблема именно в нашей версии TMG или ее настройках. Однако, ситуация там тоже не изменилась.

    Вот в "цитате" ситуация изменилась. Там канал стабильный, держался более 2 часов. Единственное отличие - там TMG версии Enterprise установлена.

    Решил на "рабочей площадке" сделать то же самое. Поставил еще один TMG, Enterprise. Создал VPN-туннель между вновь поднятым TMG и Dlink. Ситуация - не изменилась, канал падает примерно через 10-15 минут. Т.е. дело явно не в версии TMG.

    Коллега тут предложил идею для размышлений. У нас между сетью Интернет и TMG установлена Cisco. Т.е. схема приблизительная следующая:

    Интернет <-> Cisco <-> TMG <-> LAN

    Настраивал ее приглашенный специалист. С порта, к которому подключен TMG - никаких фильтров ни на протоколы, ни на порты не должно быть.

    Не может быть дело в все-таки в Cisco ? Может "она" где-то "режет" VPN-трафик между Dlink ? Кто как думает ?

    30 июля 2013 г. 6:40
  • Схожая проблема и тоже между инетом и TMG стоит Cisco. 

    Удалось ли решить задачу?

    7 декабря 2015 г. 19:34
  • Добрый день.

    Как Вам сказать.. Мы вместо Cisco и TMG поставили "железку" от FortiNet (рекомендованная замена для TMG). Держит порядка 10 каналов VPN между различными "железками" (ISA, Dlink, Fortigate). Проблем не возникало.

    Я так думаю, что не зря закрыли проект TMG...

    8 декабря 2015 г. 5:41