none
ISA 2006 STD SP1 не всегда поднимается Site-to-Site VPN после обрыва связи RRS feed

  • Общие обсуждения

  • Приветствую всех!
    Конфигурация такова:
    домен (Windows Server 2003 R2 Native mode), с сайтами(1сайт=1филиалу).
    в каждом филиале стоит MS ISA 2006 STD SP1, каждая из ISA связанна в Site-To-Site VPN с одной или несколькими другими ISA.
    в случае падения канала от провайдера Site-to-Site соединения не всегда поднимаются сами, в оснастке RRAS они висят в состоянии "подключение".

    в состоянии "подключение" может висеть как одна ISA из пары, так и обе.
    если одна - то на второй может быть написанно "отключено", и висеть так они могу часами

    помогает только "отключить" и "подключить" на этом соединении, и то не всегда, иногда нужно ещё некоторое время подождать.
    при этом в логах фиксируется ивент 20073

    -----Произошла ошибка в модуле протокола точка-точка (PPP), Порт: VPN2-99, Имя пользователя: "auto-to-tihvin" Удаленный компьютер не поддерживает требуемый тип шифрования данных.----


    после ручного "передёргивания" всё выравнивается и проблем больше не возникает.

    вопрос: как с этим боросться?



    -=C U=-
    9 декабря 2009 г. 8:42

Все ответы

  • Я сталкивался с подобными ситуациями причины были следующие:

    - слабое железо
    - ужасный канал
    - обе исы настроены как вызывающие (настраивается через rrasmgmt.msc свойства интерфейса параметры) - вызывать должна только одна, другая принимать. Это самая распространенная ошибка, с которой я сталкиваюсь.

    Если у Вас сыпет такие ошибки, то вполне возможно, что на одном из серверов не верно настроены паметры VPN сервера или параметры интерфейса.

    Ну и на последок не верно выставлено значение MTU, что мало вероятно.

    Еще один момент, перед сервером есть какое то NAT устройство?
    9 декабря 2009 г. 17:26
  • Я сталкивался с подобными ситуациями причины были следующие:

    - слабое железо
    - ужасный канал
    - обе исы настроены как вызывающие (настраивается через rrasmgmt.msc свойства интерфейса параметры) - вызывать должна только одна, другая принимать. Это самая распространенная ошибка, с которой я сталкиваюсь.

    Если у Вас сыпет такие ошибки, то вполне возможно, что на одном из серверов не верно настроены паметры VPN сервера или параметры интерфейса.

    Ну и на последок не верно выставлено значение MTU, что мало вероятно.

    Еще один момент, перед сервером есть какое то NAT устройство?

    1. отпадает
    2. отпадает
    3+. впервые о таком слышу, можно линк на официальную документацию?

    был бы кривой MTU - канал бы вообще никогда не поднимался.
    нет, NAT или других устройств нет.


    -=C U=-
    9 декабря 2009 г. 19:15
  • >> 3+. впервые о таком слышу, можно линк на официальную документацию?

    Ссылку не дам, т.к. читал об этом в книжке Шиндера. И то он на этом не очень акцентирует внимание, просто говорит, что это есть часто распространенная проблема - я в этом сам убедился.


    >> был бы кривой MTU - канал бы вообще никогда не поднимался.

    Вот по поводу этого могу поспорить, у меня это проявлялось по другому: рубился VPN и переодически отваливался интернет.
    10 декабря 2009 г. 6:49
  • >> 3+. впервые о таком слышу, можно линк на официальную документацию?

    Ссылку не дам, т.к. читал об этом в книжке Шиндера. И то он на этом не очень акцентирует внимание, просто говорит, что это есть часто распространенная проблема - я в этом сам убедился.


    хорошо, давайте предположим что такая ошибка и в правду есть.
    Site-to-Site VPN это DoD (dial on demand), то есть при появлении запроса в удалённую сеть интерфейс поднимается.
    если одна "вызывающая", а вторая "принимающая", то, следовательно, принимаюшая никак не может инициировать поднятие канала, так?
    тогда весь смысл DoD уходит в Лету.


    -=C U=-
    10 декабря 2009 г. 7:25
  • Не совсем так.

    >> "вызывающая", а вторая "принимающая", то, следовательно, принимаюшая никак не может инициировать поднятие канала, так?

    принимающая тоже может, по запросу из локальной сети - попробуйте.

    Если оба сервера настроены на постоянное соединение (галочка есть там такая), то при разрыве соединения оба сервера начинают вызывать друг друга и у них ничего не получается.

    Нормально работает когда:

     - на обоих исах интерфейсы настроены как вызов по требованию
     - на одной вызов по требованию, на другой построянное соединение.

    Я всегда настраиваю на обоих концах - вызов по требованию. Нормально работает.
    10 декабря 2009 г. 7:52
  • Нормально работает когда:

     - на обоих исах интерфейсы настроены как вызов по требованию
     - на одной вызов по требованию, на другой построянное соединение.

    Я всегда настраиваю на обоих концах - вызов по требованию. Нормально работает.
    собственно говоря у меня и настроено на всех как вызов по требованию.

    перевод в "постоянное" конечно же ничего не меняет.

    -=C U=-
    16 декабря 2009 г. 9:33