The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Отключение VPN сессий"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 06-Июл-18, 12:28 
Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии, которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в сутки разрыв всех сессий.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 06-Июл-18, 12:49 
> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
> сутки разрыв всех сессий.

что за VPN?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 06-Июл-18, 12:55 
>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>> сутки разрыв всех сессий.
> что за VPN?

cisco 881 pci k9 - Easy VPN Server

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 06-Июл-18, 13:10 
>>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>>> сутки разрыв всех сессий.
>> что за VPN?
> cisco 881 pci k9 - Easy VPN Server

пробуйте
Router(ipsec-profile)#set security-association ?
  dfbit      Handling of encapsulated DF bit.
  dummy      Enable transmitting dummy packets
  ecn        Handling of ECN bit
  idle-time  Automatically delete IPSec SAs after a given idle period.
  level      specify a security association granularity level for identities
  lifetime   security association lifetime
  replay     Set replay checking.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 06-Июл-18, 13:14 
>[оверквотинг удален]
> bit.
>   dummy      Enable transmitting dummy packets
>   ecn        Handling of
> ECN bit
>   idle-time  Automatically delete IPSec SAs after a given idle
> period.
>   level      specify a security association
> granularity level for identities
>   lifetime   security association lifetime
>   replay     Set replay checking.

Эта команда применяется только на криптокарту?


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 06-Июл-18, 16:38 
>[оверквотинг удален]
>>   dummy      Enable transmitting dummy packets
>>   ecn        Handling of
>> ECN bit
>>   idle-time  Automatically delete IPSec SAs after a given idle
>> period.
>>   level      specify a security association
>> granularity level for identities
>>   lifetime   security association lifetime
>>   replay     Set replay checking.
> Эта команда применяется только на криптокарту?

и на ipsec-profile

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 06-Июл-18, 16:50 
>[оверквотинг удален]
>>>   ecn        Handling of
>>> ECN bit
>>>   idle-time  Automatically delete IPSec SAs after a given idle
>>> period.
>>>   level      specify a security association
>>> granularity level for identities
>>>   lifetime   security association lifetime
>>>   replay     Set replay checking.
>> Эта команда применяется только на криптокарту?
> и на ipsec-profile

imp(config)#crypto isakmp profile VPN-CLIENT
imp(conf-isa-prof)#set security-association lifetime seconds 2700
                                 ^
% Invalid input detected at '^' marker.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Отключение VPN сессий"  +1 +/
Сообщение от ВОЛКА (ok), 06-Июл-18, 17:09 
>[оверквотинг удален]
>>>>   lifetime   security association lifetime
>>>>   replay     Set replay checking.
>>> Эта команда применяется только на криптокарту?
>> и на ipsec-profile
> imp(config)#crypto isakmp profile VPN-CLIENT
> imp(conf-isa-prof)#set security-association lifetime seconds 2700
>            
>            
>           ^
> % Invalid input detected at '^' marker.

на IPSEC!!!

не на ISAKMP

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 07-Июл-18, 08:47 
>[оверквотинг удален]
>>>> Эта команда применяется только на криптокарту?
>>> и на ipsec-profile
>> imp(config)#crypto isakmp profile VPN-CLIENT
>> imp(conf-isa-prof)#set security-association lifetime seconds 2700
>>
>>
>>           ^
>> % Invalid input detected at '^' marker.
> на IPSEC!!!
> не на ISAKMP

Большое спасибо.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 08-Июл-18, 08:31 
>[оверквотинг удален]
>>>> и на ipsec-profile
>>> imp(config)#crypto isakmp profile VPN-CLIENT
>>> imp(conf-isa-prof)#set security-association lifetime seconds 2700
>>>
>>>
>>>           ^
>>> % Invalid input detected at '^' marker.
>> на IPSEC!!!
>> не на ISAKMP
> Большое спасибо.

Поставил на 33000 секунд. Оставил туннель на ночь. Не отработало. Утром сеанс продолжил висеть.


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 10-Июл-18, 12:04 

>>>   idle-time  Automatically delete IPSec SAs after a given idle
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 10-Июл-18, 12:39 
>>>>   idle-time  Automatically delete IPSec SAs after a given idle

set security-association idle-time 60

Не отрабатывает. Сеанс продолжает висеть.

Глобальный - crypto ipsec security-association idle-time 60
то же.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 10-Июл-18, 13:49 
>>>>>   idle-time  Automatically delete IPSec SAs after a given idle
> set security-association idle-time 60
> Не отрабатывает. Сеанс продолжает висеть.
> Глобальный - crypto ipsec security-association idle-time 60
> то же.

выставить маленький и посмотреть дебаг...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 10-Июл-18, 19:44 
>>>>>>   idle-time  Automatically delete IPSec SAs after a given idle
>> set security-association idle-time 60
>> Не отрабатывает. Сеанс продолжает висеть.
>> Глобальный - crypto ipsec security-association idle-time 60
>> то же.
> выставить маленький и посмотреть дебаг...

Теперь не пойми что. У меня два маршрутизатора в двух офисах vpn сервер настроены по аналогии. У некоторых клиентов периодически выскакивает во время работы ошибка 412. Причем что при подключении к одному, что к другому маршрутизатору. Работают и вылет с ошибкой....


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 11-Июл-18, 13:47 
>>>>>>   idle-time  Automatically delete IPSec SAs after a given idle
>> set security-association idle-time 60
>> Не отрабатывает. Сеанс продолжает висеть.
>> Глобальный - crypto ipsec security-association idle-time 60
>> то же.
> выставить маленький и посмотреть дебаг...

Выставил на 60 сек. Включил debug crypto ipsec

Подключается клиент, есть такие строки:
Jul 11 10:34:53.847: IPSEC(create_sa): starting idle timer, 60 seconds
Jul 11 10:34:53.847: IPSEC(create_sa): sa created,
  (sa) sa_dest= 84.47.*.*, sa_proto= 50,
    sa_spi= 0xF6F90895(4143515797),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 77
    sa_lifetime(k/sec)= (4418854/3600)
Jul 11 10:34:53.847: IPSEC(create_sa): sa created,
  (sa) sa_dest= 188.35.*.*, sa_proto= 50,
    sa_spi= 0xB8F9956(193960278),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 78
    sa_lifetime(k/sec)= (4418854/3600)
Jul 11 10:34:53.847: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up
Jul 11 10:34:53.851: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Jul 11 10:34:53.851: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
Jul 11 10:34:53.851: IPSEC(key_engine_enable_outbound): enable SA with spi 193960278/50
Jul 11 10:34:53.851: IPSEC(update_current_outbound_sa): get enable SA peer 188.35.*.* current outbound sa to SPI B8F9956
Jul 11 10:34:53.851: IPSEC(update_current_outbound_sa): updated peer 188.35.*.* current outbound sa to SPI B8F9956
cisco#
Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): delete SA with spi 0x21F9F058 proto 50 for 188.35.*.*
Jul 11 10:35:05.915: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 84.47.*.*, sa_proto= 50,
    sa_spi= 0xCA2AEB86(3391810438),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 59
    sa_lifetime(k/sec)= (4562472/3600),
  (identity) local= 84.47.*.*:0, remote= 188.35.*.*:0,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
Jul 11 10:35:05.915: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 188.35.*.*, sa_proto= 50,
    sa_spi= 0x21F9F058(570028120),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 60
    sa_lifetime(k/sec)= (4562472/3600),
  (identity) local= 84.47.*.*:0, remote= 188.35.*.*:0,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
Jul 11 10:35:05.915:  IPSEC(rte_mgr): Delete Route found ID 5
Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
cisco#
Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP

Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент продолжает висеть, логов более по нему нет.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 11-Июл-18, 14:11 
>[оверквотинг удален]
>   (identity) local= 84.47.*.*:0, remote= 188.35.*.*:0,
>     local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
>     remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
> Jul 11 10:35:05.915:  IPSEC(rte_mgr): Delete Route found ID 5
> Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
> Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
> cisco#
> Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
> Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент
> продолжает висеть, логов более по нему нет.

Вы доку почитайте, как это работает...
Аутентификация у вас локальная или через радиус?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 11-Июл-18, 14:17 
>[оверквотинг удален]
>>     remote_proxy= 192.168.3.84/255.255.255.255/0/0 (type=1)
>> Jul 11 10:35:05.915:  IPSEC(rte_mgr): Delete Route found ID 5
>> Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
>> Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
>> cisco#
>> Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
>> Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент
>> продолжает висеть, логов более по нему нет.
> Вы доку почитайте, как это работает...
> Аутентификация у вас локальная или через радиус?

Локальная


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Отключение VPN сессий"  +/
Сообщение от ВОЛКА (ok), 11-Июл-18, 17:28 
>[оверквотинг удален]
>>> Jul 11 10:35:05.915:  IPSEC(rte_mgr): Delete Route found ID 5
>>> Jul 11 10:35:05.915: IPSEC(rte_mgr): VPN Route Refcount 1 Virtual-Access2
>>> Jul 11 10:35:05.915: IPSEC(key_engine): got a queue event with 1 KMI message(s)
>>> cisco#
>>> Jul 11 10:35:05.915: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
>>> Т.е. таймер вроде как активируется. Проходит 60 сек и ни чего. Клиент
>>> продолжает висеть, логов более по нему нет.
>> Вы доку почитайте, как это работает...
>> Аутентификация у вас локальная или через радиус?
> Локальная

если локальная, то вам уже подсказали....
есть attribute list - его можно привязать к пользователю.
В этом листе можно выставить idle-timeout

читайте документацию на параметры, которые меняете...
>>> idle-time  Automatically delete IPSec SAs after a given idle period.
>>> lifetime   security association lifetime

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 11-Июл-18, 16:44 
>>[оверквотинг удален]
> Вы доку почитайте, как это работает...

Доку на сбор логов или доку на закрытие сессий?


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

3. "Отключение VPN сессий"  +/
Сообщение от ShyLion (ok), 06-Июл-18, 12:59 
> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
> сутки разрыв всех сессий.

Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 06-Июл-18, 13:05 
>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>> сутки разрыв всех сессий.
> Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.

Авторизация группы и пользователя. Поднят по данной схеме:

https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Отключение VPN сессий"  +/
Сообщение от ShyLion (ok), 10-Июл-18, 07:08 
>>> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
>>> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
>>> сутки разрыв всех сессий.
>> Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.
> Авторизация группы и пользователя. Поднят по данной схеме:
> https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...

там же есть пример с aaa attribute list



asr-1002x-621(config)#aaa attribute list test
asr-1002x-621(config-attr-list)#attribute type idle?
idle-threshold  idle-timeout-direction  idletime  

попробуй поиграться с этими атрибутами.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

22. "Отключение VPN сессий"  +/
Сообщение от motokemail (ok), 12-Июл-18, 09:33 
>[оверквотинг удален]
>>> Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.
>> Авторизация группы и пользователя. Поднят по данной схеме:
>> https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...
> там же есть пример с aaa attribute list
>
 
> asr-1002x-621(config)#aaa attribute list test
> asr-1002x-621(config-attr-list)#attribute type idle?
> idle-threshold  idle-timeout-direction  idletime
>

> попробуй поиграться с этими атрибутами.

Как написано то же не получается.

aaa attribute list VPN-CLIENT
attribute type idle-threshold 60 (пробовал idletime и idle-timeout-direction)

crypto isakmp client configuration group EVPN-GROUP
crypto aaa attribute list VPN-CLIENT


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor