Deaktivierung DPD - Was passiert?
Moderator: Lancom-Systems Moderatoren
Deaktivierung DPD - Was passiert?
Was passiert genau, wenn ich DPD deaktiviere (vorallem bei Verbindungsabbrüchen) und in welchen Szenarien ist es sinnvoll oder nicht?
Hi dburkel
die Leitungsüberwachung per DPD wird abgeschaltet. Du kannst also nicht mehr erkennen, wenn die Gegenseite abgestürzt ist. Der Tunnel bleibt auf deiner Seite solange bestehen, bis die Lifetimes ablaufen - nur können keine Daten mehr übertragen werden...
Wenn du DPD abschaltest, weil z.B. die Gegenseite das falsch implementiert hat und es somit immer wieder zu Abbrüchen kommt, dann solltest du tunlichst ein ICMP-Polling (Kommunikation -> Gegenstellen -> Polling-Tabelle) als Alternative einrichten, um den Zusammenbruch des Tunnels erkennen zu können
Gruß
Backslash
die Leitungsüberwachung per DPD wird abgeschaltet. Du kannst also nicht mehr erkennen, wenn die Gegenseite abgestürzt ist. Der Tunnel bleibt auf deiner Seite solange bestehen, bis die Lifetimes ablaufen - nur können keine Daten mehr übertragen werden...
Wenn du DPD abschaltest, weil z.B. die Gegenseite das falsch implementiert hat und es somit immer wieder zu Abbrüchen kommt, dann solltest du tunlichst ein ICMP-Polling (Kommunikation -> Gegenstellen -> Polling-Tabelle) als Alternative einrichten, um den Zusammenbruch des Tunnels erkennen zu können
Gruß
Backslash
Hi dburkel
Gruß
Backslash
ja, es sei denn du hast eine Gegenstelle, die da Mist baut (siehe: http://www.lancom-forum.de/ptopic,28433,dpd.html#28433)Das heißt, dass es prinzipiell sinnvoll ist, DPD angeschaltet zu lassen?
Gruß
Backslash
Hi dburkel
Der Timeout ist 30 Sekunden und darf auch nicht kleiner sein (das ist im RFC so vorgeschrieben...)
Im schlimmsten Fall dauert es halt 2 * DPD-Timeout bis zum Abbruch:
1 Sekunde vor dem Zusammenbruch der Leitung wurde erfolgreich DPD gemacht. Dann läuft der DPD-Timeout bis zum nächten polling.
Das wird nach 30 sekunden gemacht. Darauf kommnt nun keine Antwort, was aber erst nach den nächsten Timeout festgestellt wird. Nun ist schon eine Minute seit dem Zusammenbruch vergangen.
Nun wird noch 2 oder 3 mal mit kürzerem Timeout gepollt bis die Verbindung wirklich gekappt wird.
Gruß
Backslash
Im Client nein...kann man den DPD Timer zeitlich abändern? Gibt es dafür Einstellmöglichkeiten?
Der Timeout ist 30 Sekunden und darf auch nicht kleiner sein (das ist im RFC so vorgeschrieben...)
Ich habe es selbst getestet: Nach Trennung der Internetverbindung, bleibt der Lancom Client noch über eine Minute verbunden.
Im schlimmsten Fall dauert es halt 2 * DPD-Timeout bis zum Abbruch:
1 Sekunde vor dem Zusammenbruch der Leitung wurde erfolgreich DPD gemacht. Dann läuft der DPD-Timeout bis zum nächten polling.
Das wird nach 30 sekunden gemacht. Darauf kommnt nun keine Antwort, was aber erst nach den nächsten Timeout festgestellt wird. Nun ist schon eine Minute seit dem Zusammenbruch vergangen.
Nun wird noch 2 oder 3 mal mit kürzerem Timeout gepollt bis die Verbindung wirklich gekappt wird.
VPN ist kein Kabel...Das ist meines Erachtens zu lange.
Gruß
Backslash
Das meinst du mit Polling:
01.03.2007 07:27:00 NOTIFY : xxx : SENT : NOTIFY_MSG_R_U_HERE
01.03.2007 07:27:01 NOTIFY : xxx : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
01.03.2007 07:27:07 NOTIFY : xxx : SENT : NOTIFY_MSG_R_U_HERE
01.03.2007 07:27:08 NOTIFY : xxx : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
01.03.2007 07:28:04 NOTIFY : xxx : SENT : NOTIFY_MSG_R_U_HERE
01.03.2007 07:28:04 NOTIFY : xxx : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
?
Habe gesehen, DPD steht pro VPN-Verbindung auf 60 Sekunden in Lanconfig unter VPN - Verbinungs-Listen
01.03.2007 07:27:00 NOTIFY : xxx : SENT : NOTIFY_MSG_R_U_HERE
01.03.2007 07:27:01 NOTIFY : xxx : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
01.03.2007 07:27:07 NOTIFY : xxx : SENT : NOTIFY_MSG_R_U_HERE
01.03.2007 07:27:08 NOTIFY : xxx : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
01.03.2007 07:28:04 NOTIFY : xxx : SENT : NOTIFY_MSG_R_U_HERE
01.03.2007 07:28:04 NOTIFY : xxx : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
?
Habe gesehen, DPD steht pro VPN-Verbindung auf 60 Sekunden in Lanconfig unter VPN - Verbinungs-Listen