faq обучение настройка
Текущее время: Пт сен 20, 2019 07:11

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Чт июн 13, 2019 14:24 
Не в сети

Зарегистрирован: Чт июн 13, 2019 14:18
Сообщений: 9
Есть несколько географически распределенных офисов, связь между ними строится на IPSec туннелировании между D-Link DFL 1660. Доступ в интернет есть только (по политике безопасности) с рабочих станций головного офиса - офис А (в основном посредством NAT на D-Link).
Сейчас появилась еще одна площадка - офис В, соединенная так же по IPSec, на которой паре рабочих станций нужен интернет ЧЕРЕЗ головной офис, а не напрямую. При этом активное сетевое оборудование офиса В (сеть 172. .. . ..) мы не администрируем (это чужая организация), а имеем полные права лишь на самих компах.
У себя на D-Link создаем правило, что интернет доступен для сети офиса B, пришедшей к нам из IPSec, а так же создаем правило NAT для выхода в интернет сети офиса B. Но данные настройки не дают результат.
Админы чужой организации говорят, что на их шлюзе все разрешено в нашу сторону.
В чем может быть затык?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июн 13, 2019 15:10 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
В маршрутах и метрике.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июн 13, 2019 17:11 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
viewtopic.php?f=3&t=174887

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 14, 2019 11:25 
Не в сети

Зарегистрирован: Чт июн 13, 2019 14:18
Сообщений: 9
Сделали как в статье, туннель работает между локалками. Но из удаленного офиса в наш интернет не ходит. Скрины:
Скрытый текст: показать
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 14, 2019 12:25 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
viewtopic.php?f=3&t=29666
Серия DFL: Пример настройки PBR от пользователя YuriAM

PBR забыли :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 14, 2019 13:39 
Не в сети

Зарегистрирован: Чт июн 08, 2017 17:37
Сообщений: 4
День добрый.
Вот такое правило.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 14, 2019 16:34 
Не в сети

Зарегистрирован: Чт июн 13, 2019 14:18
Сообщений: 9
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=29666
Серия DFL: Пример настройки PBR от пользователя YuriAM

PBR забыли :-)


Vladimir22, что еще могли упустить?((


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 17, 2019 16:20 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
альтернативную таблицу маршрутизации

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 17, 2019 19:00 
Не в сети

Зарегистрирован: Чт июн 08, 2017 17:37
Сообщений: 4
Добрый день.
Что то не выходит. Настроены следующие правила:
Правило для ipsec
Изображение

Вот его вкладка advanced
Изображение

Маршрут для ipsec
Изображение

Правила хождения трафика ipsec
Изображение

Альтернативная таблица. Предполагается что удаленный офис будет выходить в Интернет через резервный канал(wan2)
Изображение

Правило маршрутизации для выхода в Интернет через головной офис
Изображение

Разрешающее правило для выхода в Интернет через головной офис
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июн 18, 2019 08:49 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
запускайте трассировку и ищите куда заворачивается .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июн 18, 2019 11:55 
Не в сети

Зарегистрирован: Чт июн 13, 2019 14:18
Сообщений: 9
Правила разрешающие для трасировки из удаленного офиса в Интернет:
Изображение
Значение TTL min = 1
Для сервиса all_icmp стоит Pass returned ICMP error messages from destination

Сложность в том, что мы не администрируем шлюз на "той" стороне IPSec. С рабочей станции трасировка интернета выглядит так:
Изображение

Вопрос: каким-то образом можно отследить на DFL 1660, что по IPSec ICMP пакет до нас вообще доходит?
Имеющимся Packet Capture с помощью WireShark смотрим дамп:
ICMP пакетов в Интернет не видим, только между локалками. Они должны быть видны в явном виде, или могут быть зашифрованы TLS-ом?
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июн 18, 2019 17:42 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
запустите бесконечный пинг на удаленной машине - и смотрите в статус - соединения
отсортируйте по интерфейсу

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июн 18, 2019 17:59 
Не в сети

Зарегистрирован: Чт июн 13, 2019 14:18
Сообщений: 9
Так мы так и делаем - запускаем пинг и смотрим сборщик пакетов на соответствующем интерфесе IPSec. Вопрос в том, что если на той стороне отправили пинг, почему его сборщик тут не видит?
В голову приходит только то, что пакет до нашего d-link не приходит, т.е. на той стороне что-то его не пускает...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июн 19, 2019 08:51 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
ну я вам не могу сказать . Удаленная сторона вам не подконтрольна ;-) там можно гадать только .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июн 19, 2019 08:57 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
А что за группа интерфейсов под названием INTERNET, присутствующая в правилах и маршрутах на удаленном офисе? Из кого состоит?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB