https://www.opennet.ru/openforum/vsluhforumID6/2329.html Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии, которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в сутки разрыв всех сессий. <br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#22 Thu, 12 Jul 2018 06:33:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.<br>&gt;&gt; Авторизация группы и пользователя. Поднят по данной схеме: <br>&gt;&gt; https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html#wp1083582 <br>&gt; там же есть пример с aaa attribute list <br>&gt; [code] <br>&gt; asr-1002x-621(config)#aaa attribute list test <br>&gt; asr-1002x-621(config-attr-list)#attribute type idle?<br>&gt; idle-threshold idle-timeout-direction idletime <br>&gt; [/code] <br>&gt; попробуй поиграться с этими атрибутами.<br><br>Как написано то же не получается. <br><br>aaa attribute list VPN-CLIENT<br>attribute type idle-threshold 60 (пробовал idletime и idle-timeout-direction)<br><br>crypto isakmp client configuration group EVPN-GROUP<br>crypto aaa attribute list VPN-CLIENT<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#21 Wed, 11 Jul 2018 14:28:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5 <br>&gt;&gt;&gt; Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2 <br>&gt;&gt;&gt; Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s) <br>&gt;&gt;&gt; cisco# <br>&gt;&gt;&gt; Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP <br>&gt;&gt;&gt; Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент <br>&gt;&gt;&gt; продолжает висеть, логов более по нему нет.<br>&gt;&gt; Вы доку почитайте, как это работает...<br>&gt;&gt; Аутентификация у вас локальная или через радиус?<br>&gt; Локальная <br><br>если локальная, то вам уже подсказали....<br>есть attribute list - его можно привязать к пользователю.<br>В этом листе можно выставить idle-timeout<br><br>читайте документацию на параметры, которые меняете...<br>&gt;&gt;&gt; idle-time Automatically delete IPSec SAs after a given idle period.<br>&gt;&gt;&gt; lifetime security association lifetime https://www.opennet.ru/openforum/vsluhforumID6/2329.html#20 Wed, 11 Jul 2018 13:44:57 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Вы доку почитайте, как это работает...<br><br>Доку на сбор логов или доку на закрытие сессий? <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#19 Wed, 11 Jul 2018 11:17:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt; remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1) <br>&gt;&gt; Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5 <br>&gt;&gt; Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2 <br>&gt;&gt; Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s) <br>&gt;&gt; cisco# <br>&gt;&gt; Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP <br>&gt;&gt; Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент <br>&gt;&gt; продолжает висеть, логов более по нему нет.<br>&gt; Вы доку почитайте, как это работает...<br>&gt; Аутентификация у вас локальная или через радиус?<br><br>Локальная<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#18 Wed, 11 Jul 2018 11:11:48 GMT &gt;[оверквотинг удален]<br>&gt; (identity) local= 84.47.*.*:0, remote= 188.35.*.*:0, <br>&gt; local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4), <br>&gt; remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1) <br>&gt; Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5 <br>&gt; Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2 <br>&gt; Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s) <br>&gt; cisco# <br>&gt; Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP <br>&gt; Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент <br>&gt; продолжает висеть, логов более по нему нет.<br><br>Вы доку почитайте, как это работает...<br>Аутентификация у вас локальная или через радиус?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#17 Wed, 11 Jul 2018 10:47:40 GMT &gt;&gt;&gt;&gt;&gt;&gt; idle-time Automatically delete IPSec SAs after a given idle <br>&gt;&gt; set security-association idle-time 60 <br>&gt;&gt; Не отрабатывает. Сеанс продолжает висеть.<br>&gt;&gt; Глобальный - crypto ipsec security-association idle-time 60 <br>&gt;&gt; то же.<br>&gt; выставить маленький и посмотреть дебаг...<br><br>Выставил на 60 сек. Включил debug crypto ipsec<br><br>Подключается клиент, есть такие строки:<br>Jul 11 10:34:53.847: IPSEC(create_sa): starting idle timer, 60 seconds<br>Jul 11 10:34:53.847: IPSEC(create_sa): sa created,<br> (sa) sa_dest= 84.47.*.*, sa_proto= 50,<br> sa_spi= 0xF6F90895(4143515797),<br> sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 77<br> sa_lifetime(k/sec)= (4418854/3600)<br>Jul 11 10:34:53.847: IPSEC(create_sa): sa created,<br> (sa) sa_dest= 188.35.*.*, sa_proto= 50,<br> sa_spi= 0xB8F9956(193960278),<br> sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 78<br> sa_lifetime(k/sec)= (4418854/3600)<br>Jul 11 10:34:53.847: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up<br>Jul 11 10:34:53.851: I https://www.opennet.ru/openforum/vsluhforumID6/2329.html#16 Tue, 10 Jul 2018 16:44:25 GMT &gt;&gt;&gt;&gt;&gt;&gt; idle-time Automatically delete IPSec SAs after a given idle <br>&gt;&gt; set security-association idle-time 60 <br>&gt;&gt; Не отрабатывает. Сеанс продолжает висеть.<br>&gt;&gt; Глобальный - crypto ipsec security-association idle-time 60 <br>&gt;&gt; то же.<br>&gt; выставить маленький и посмотреть дебаг...<br><br>Теперь не пойми что. У меня два маршрутизатора в двух офисах vpn сервер настроены по аналогии. У некоторых клиентов периодически выскакивает во время работы ошибка 412. Причем что при подключении к одному, что к другому маршрутизатору. Работают и вылет с ошибкой....<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#15 Tue, 10 Jul 2018 10:49:18 GMT &gt;&gt;&gt;&gt;&gt; idle-time Automatically delete IPSec SAs after a given idle <br>&gt; set security-association idle-time 60 <br>&gt; Не отрабатывает. Сеанс продолжает висеть.<br>&gt; Глобальный - crypto ipsec security-association idle-time 60 <br>&gt; то же.<br><br>выставить маленький и посмотреть дебаг...<br> https://www.opennet.ru/openforum/vsluhforumID6/2329.html#14 Tue, 10 Jul 2018 09:39:59 GMT &gt;&gt;&gt;&gt; idle-time Automatically delete IPSec SAs after a given idle <br><br>set security-association idle-time 60<br><br>Не отрабатывает. Сеанс продолжает висеть.<br><br>Глобальный - crypto ipsec security-association idle-time 60 <br>то же.<br><br>