Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии, которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в сутки разрыв всех сессий.
> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
> сутки разрыв всех сессий.что за VPN?
>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>> сутки разрыв всех сессий.
> что за VPN?cisco 881 pci k9 - Easy VPN Server
>>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>>> сутки разрыв всех сессий.
>> что за VPN?
> cisco 881 pci k9 - Easy VPN Serverпробуйте
Router(ipsec-profile)#set security-association ?
dfbit Handling of encapsulated DF bit.
dummy Enable transmitting dummy packets
ecn Handling of ECN bit
idle-time Automatically delete IPSec SAs after a given idle period.
level specify a security association granularity level for identities
lifetime security association lifetime
replay Set replay checking.
>[оверквотинг удален]
> bit.
> dummy Enable transmitting dummy packets
> ecn Handling of
> ECN bit
> idle-time Automatically delete IPSec SAs after a given idle
> period.
> level specify a security association
> granularity level for identities
> lifetime security association lifetime
> replay Set replay checking.Эта команда применяется только на криптокарту?
>[оверквотинг удален]
>> dummy Enable transmitting dummy packets
>> ecn Handling of
>> ECN bit
>> idle-time Automatically delete IPSec SAs after a given idle
>> period.
>> level specify a security association
>> granularity level for identities
>> lifetime security association lifetime
>> replay Set replay checking.
> Эта команда применяется только на криптокарту?и на ipsec-profile
>[оверквотинг удален]
>>> ecn Handling of
>>> ECN bit
>>> idle-time Automatically delete IPSec SAs after a given idle
>>> period.
>>> level specify a security association
>>> granularity level for identities
>>> lifetime security association lifetime
>>> replay Set replay checking.
>> Эта команда применяется только на криптокарту?
> и на ipsec-profileimp(config)#crypto isakmp profile VPN-CLIENT
imp(conf-isa-prof)#set security-association lifetime seconds 2700
^
% Invalid input detected at '^' marker.
>[оверквотинг удален]
>>>> lifetime security association lifetime
>>>> replay Set replay checking.
>>> Эта команда применяется только на криптокарту?
>> и на ipsec-profile
> imp(config)#crypto isakmp profile VPN-CLIENT
> imp(conf-isa-prof)#set security-association lifetime seconds 2700
>
>
> ^
> % Invalid input detected at '^' marker.на IPSEC!!!
не на ISAKMP
>[оверквотинг удален]
>>>> Эта команда применяется только на криптокарту?
>>> и на ipsec-profile
>> imp(config)#crypto isakmp profile VPN-CLIENT
>> imp(conf-isa-prof)#set security-association lifetime seconds 2700
>>
>>
>> ^
>> % Invalid input detected at '^' marker.
> на IPSEC!!!
> не на ISAKMPБольшое спасибо.
>[оверквотинг удален]
>>>> и на ipsec-profile
>>> imp(config)#crypto isakmp profile VPN-CLIENT
>>> imp(conf-isa-prof)#set security-association lifetime seconds 2700
>>>
>>>
>>> ^
>>> % Invalid input detected at '^' marker.
>> на IPSEC!!!
>> не на ISAKMP
> Большое спасибо.Поставил на 33000 секунд. Оставил туннель на ночь. Не отработало. Утром сеанс продолжил висеть.
>>> idle-time Automatically delete IPSec SAs after a given idle
>>>> idle-time Automatically delete IPSec SAs after a given idleset security-association idle-time 60
Не отрабатывает. Сеанс продолжает висеть.
Глобальный - crypto ipsec security-association idle-time 60
то же.
>>>>> idle-time Automatically delete IPSec SAs after a given idle
> set security-association idle-time 60
> Не отрабатывает. Сеанс продолжает висеть.
> Глобальный - crypto ipsec security-association idle-time 60
> то же.выставить маленький и посмотреть дебаг...
>>>>>> idle-time Automatically delete IPSec SAs after a given idle
>> set security-association idle-time 60
>> Не отрабатывает. Сеанс продолжает висеть.
>> Глобальный - crypto ipsec security-association idle-time 60
>> то же.
> выставить маленький и посмотреть дебаг...Теперь не пойми что. У меня два маршрутизатора в двух офисах vpn сервер настроены по аналогии. У некоторых клиентов периодически выскакивает во время работы ошибка 412. Причем что при подключении к одному, что к другому маршрутизатору. Работают и вылет с ошибкой....
>>>>>> idle-time Automatically delete IPSec SAs after a given idle
>> set security-association idle-time 60
>> Не отрабатывает. Сеанс продолжает висеть.
>> Глобальный - crypto ipsec security-association idle-time 60
>> то же.
> выставить маленький и посмотреть дебаг...Выставил на 60 сек. Включил debug crypto ipsec
Подключается клиент, есть такие строки:
Jul 11 10:34:53.847: IPSEC(create_sa): starting idle timer, 60 seconds
Jul 11 10:34:53.847: IPSEC(create_sa): sa created,
(sa) sa_dest= 84.47.*.*, sa_proto= 50,
sa_spi= 0xF6F90895(4143515797),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 77
sa_lifetime(k/sec)= (4418854/3600)
Jul 11 10:34:53.847: IPSEC(create_sa): sa created,
(sa) sa_dest= 188.35.*.*, sa_proto= 50,
sa_spi= 0xB8F9956(193960278),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 78
sa_lifetime(k/sec)= (4418854/3600)
Jul 11 10:34:53.847: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up
Jul 11 10:34:53.851: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Jul 11 10:34:53.851: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
Jul 11 10:34:53.851: IPSEC(key_engine_enable_outbound): enable SA with spi 193960278/50
Jul 11 10:34:53.851: IPSEC(update_current_outbound_sa): get enable SA peer 188.35.*.* current outbound sa to SPI B8F9956
Jul 11 10:34:53.851: IPSEC(update_current_outbound_sa): updated peer 188.35.*.* current outbound sa to SPI B8F9956
cisco#
Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): delete SA with spi 0x21F9F058 proto 50 for 188.35.*.*
Jul 11 10:35:05.915: IPSEC(delete_sa): deleting SA,
(sa) sa_dest= 84.47.*.*, sa_proto= 50,
sa_spi= 0xCA2AEB86(3391810438),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 59
sa_lifetime(k/sec)= (4562472/3600),
(identity) local= 84.47.*.*:0, remote= 188.35.*.*:0,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
Jul 11 10:35:05.915: IPSEC(delete_sa): deleting SA,
(sa) sa_dest= 188.35.*.*, sa_proto= 50,
sa_spi= 0x21F9F058(570028120),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 60
sa_lifetime(k/sec)= (4562472/3600),
(identity) local= 84.47.*.*:0, remote= 188.35.*.*:0,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5
Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
cisco#
Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMPТ.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент продолжает висеть, логов более по нему нет.
>[оверквотинг удален]
> (identity) local= 84.47.*.*:0, remote= 188.35.*.*:0,
> local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
> remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
> Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5
> Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
> Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
> cisco#
> Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
> Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент
> продолжает висеть, логов более по нему нет.Вы доку почитайте, как это работает...
Аутентификация у вас локальная или через радиус?
>[оверквотинг удален]
>> remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
>> Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5
>> Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
>> Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
>> cisco#
>> Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
>> Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент
>> продолжает висеть, логов более по нему нет.
> Вы доку почитайте, как это работает...
> Аутентификация у вас локальная или через радиус?Локальная
>[оверквотинг удален]
>>> Jul 11 10:35:05.915: IPSEC(rte_mgr): Delete Route found ID 5
>>> Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
>>> Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
>>> cisco#
>>> Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
>>> Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент
>>> продолжает висеть, логов более по нему нет.
>> Вы доку почитайте, как это работает...
>> Аутентификация у вас локальная или через радиус?
> Локальнаяесли локальная, то вам уже подсказали....
есть attribute list - его можно привязать к пользователю.
В этом листе можно выставить idle-timeoutчитайте документацию на параметры, которые меняете...
>>> idle-time Automatically delete IPSec SAs after a given idle period.
>>> lifetime security association lifetime
>>[оверквотинг удален]
> Вы доку почитайте, как это работает...Доку на сбор логов или доку на закрытие сессий?
> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
> сутки разрыв всех сессий.Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.
>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>> сутки разрыв всех сессий.
> Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.Авторизация группы и пользователя. Поднят по данной схеме:
https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...
>>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>>> сутки разрыв всех сессий.
>> Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.
> Авторизация группы и пользователя. Поднят по данной схеме:
> https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...там же есть пример с aaa attribute list
asr-1002x-621(config)#aaa attribute list test
asr-1002x-621(config-attr-list)#attribute type idle?
idle-threshold idle-timeout-direction idletimeпопробуй поиграться с этими атрибутами.
>[оверквотинг удален]
>>> Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.
>> Авторизация группы и пользователя. Поднят по данной схеме:
>> https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...
> там же есть пример с aaa attribute list
>
> asr-1002x-621(config)#aaa attribute list test
> asr-1002x-621(config-attr-list)#attribute type idle?
> idle-threshold idle-timeout-direction idletime
>
> попробуй поиграться с этими атрибутами.Как написано то же не получается.
aaa attribute list VPN-CLIENT
attribute type idle-threshold 60 (пробовал idletime и idle-timeout-direction)crypto isakmp client configuration group EVPN-GROUP
crypto aaa attribute list VPN-CLIENT