faq обучение настройка
Текущее время: Сб окт 19, 2019 21:25

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 10:32 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 581
Vladimir22 писал(а):
-каким образом у вас в двух туннелях одинаковое RemoteEndPoint ?

но local endpoint разные, это 4 разных туннеля

Vladimir22 писал(а):
-каким образом и при каких таблицах маршрутизации у вас создается туннель.
dfl-1_wan1---dfl-2_wan2

dfl-1_wan2---dfl-2_wan2

каким образом, и при помощи чего - вы явно сказали какому туннелю ходить на какой соседний интерфейс соседа ?


за это отвечает вот этот кусок
здесь указывается конкретный ответный интерфейс
таблица одна - main, она на скриншоте


Вложения:
Комментарий к файлу: привязка туннелей к взаимным ванам дфл
11.png
11.png [ 7.45 KiB | Просмотров: 1156 ]


Последний раз редактировалось Shkiper Пн фев 29, 2016 10:47, всего редактировалось 3 раз(а).
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 10:41 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7175
Откуда: Екатеринбург
MTRX писал(а):
Для реальной проверки, имхо, помимо наличия желающих необходима еще и техническая возможность - наличие 2х провайдеров со стороны каждой DFL'ки, притом, с внешними IP.
Это как бы подразумевается. 8)

В принципе устроил бы и энтузиаст, готовый собрать и потестить эту схему на стенде.

У меня для этого все есть (2 DFL + DFL или MikroTik на роль интернета). Но желание пробовать совершенно отсутствует. :lol:

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 10:43 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 581
DoctorA тот человек который развеет наши сомнения, все собиралось под его реальный запрос, не буду говорит за него - когда, но обещает что скоро
тестировали в представительстве Длинк, картинка в начале (и все остальное), это реально проверенная схема - "модель паровоза в натуральную величину" так сказать, надеюсь что все заработает в продакшине


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн мар 21, 2016 14:37 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
все работает
к вышеописанному пришлось добавить следующее:
1. разные ключи для всех 4-х тоннелей
2. две дополнительных таблицы маршрутизации для исключения ситуаций, когда пакет приходит на один WAN, а ответ уходит по другому. Из-за этих особенностей при некоторых сочетаниях отключенных/рабочих WAN-ов происходило периодическое убивание ключей IPSec и разрывы связи. Понял, что так происходит, когда увидел в логе запрос на создание IKE SA IPSec3 (remote WAN2 - local WAN1) с параметрами как у IPSec1 (remote WAN1-local WAN1).

подробный how-to, надеюсь, сделает Shkiper

огромная ему благодарность за путёвый совет купить DFL-и, ну и за собственно помощь в их освоении. Железяки знатные!


Последний раз редактировалось doctorA Вт мар 29, 2016 07:03, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн мар 21, 2016 17:02 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8517
Откуда: Москва
Почему пришлось делать разные PSK ?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Вс мар 27, 2016 04:54 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
MTRX писал(а):
Почему пришлось делать разные PSK ?


это было сделано в процессе экспериментов, когда было еще непонятно, что происходит

приходили запросы на создание IKE SA на интерфейсы, по которым уже был открыт IPSec
эти запросы убивали действующие SA и канал рвался.

в окончательном варианте, скорее всего, можно и одинаковый ключ сделать, но все как-то руки не доходят проверить. Работает, и хорошо!

Updated: сделал один ключ на все IPSec-и, все работает.
т.е. из обязательных дополнительных шагов - только альтернативные таблицы маршрутизации реально нужны.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Вс авг 19, 2018 05:59 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
небольшой апдейт

в крайней прошивке в свойствах IPSec присутствует пункт Outgoing Routing Table
его наличие позволило сделать активными сразу ВСЕ четыре IPSec канала, так как стало возможным явно указать исходящий WAN


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Ср фев 20, 2019 16:10 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
Shkiper! И от меня спасибо! Настроил по этой схеме фэйловер между тремя DFL-ами.

doctorA писал(а):
небольшой апдейт

в крайней прошивке в свойствах IPSec присутствует пункт Outgoing Routing Table
его наличие позволило сделать активными сразу ВСЕ четыре IPSec канала, так как стало возможным явно указать исходящий WAN

И Вам большое спасибо, очень важное дополнение.

Shkiper писал(а):
чем понравилась эта схема - туннели переключаются мгновенно, нет ожидания ipsec, можно выставить параметры мониторинга на минимум, все переключается сразу

Если не затруднит озвучьте, пожалуйста, "минимальные параметры мониторинга".
Сейчас мониторинг по умолчанию, переключения приходится ждать по несколько минут. Экспериментировать особенно не получается, так как все три DFL-ки под постоянной нагрузкой...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пт фев 22, 2019 13:37 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
Сам отвечу на свой вопрос.
Изменения относительно дефолтного мониторинга сделал такие:
Grace Period: было 5 стало 2
Polling Interval: было 10000 стало 2000

Выдергивание основного WAN'а, при запущенном ping'е туннелей с параметром -t, дает только 2 таймаута. Годится.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн мар 11, 2019 18:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7030
Откуда: D-Link. Moscow
По этой теме есть давно обновленный FAQ http://www.dlink.ru/ru/faq/331/1724.html в пределах стенда все работает, проверено не однократно.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 17


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB