faq обучение настройка
Текущее время: Чт май 23, 2019 02:31

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 38 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Ср окт 19, 2016 23:08 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Доброго Вам времени суток!

Дано:
1. DFL-860E выходит в интернет через сеть BeeLine посредством L2TP, порт wan1.
2. На интерфейсе BeeLineVPN в интернете висит белый статический IP.
3. Ресурс внутри локальной сети за DFL`кой с ip 192.168.0.3.
4. Прошивка WW 2.60.

Нужно:
настроить L2tp-сервер для подключения извне используя L2tp over IPSec.

Делал по этой инструкции:
Мой мануал по созданию L2TP сервера на NetDefendOS

Проблема:
Подключение проходит, сессия есть, доступа к внутренним ресурсам нет.
Не пингуется ни ip l2tp сервера, ни ip lan интерфейса, ни ресурсы внутри сети.

Что я делаю не так?

PS Форум курил, думал сам, для решения вопроса привлек на помощь еще одного человека - ну "не выходит каменный цветок"(с)...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 19, 2016 23:12 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Настройки


Вложения:
Комментарий к файлу: Настройки l2tp-сервера
l2tp-serv.jpg
l2tp-serv.jpg [ 62.02 KiB | Просмотров: 2739 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 19, 2016 23:13 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Настройки


Вложения:
Комментарий к файлу: Маршрут в настройках l2tp-сервера
l2tp-serv_route.jpg
l2tp-serv_route.jpg [ 82.14 KiB | Просмотров: 2739 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 19, 2016 23:16 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Настройки


Вложения:
Комментарий к файлу: Настройки IPSec
l2tp_ipsec_tunnel.jpg
l2tp_ipsec_tunnel.jpg [ 96.22 KiB | Просмотров: 2739 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 19, 2016 23:17 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Политики


Вложения:
Комментарий к файлу: Политики локалки
Policies_lan_to_wan1.jpg
Policies_lan_to_wan1.jpg [ 108.02 KiB | Просмотров: 2739 ]
Комментарий к файлу: Политики доступа к сети
Policies_lan_to_beeline.jpg
Policies_lan_to_beeline.jpg [ 87.13 KiB | Просмотров: 2739 ]
Комментарий к файлу: Политики l2tp сервера
Policies_l2tp.jpg
Policies_l2tp.jpg [ 93.49 KiB | Просмотров: 2739 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 19, 2016 23:21 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
И последняя пачка скринов.

Прошу прощения за кучу сообщений, но до меня с трудом дошло, что можно закинуть в сообщение более одного рисунка.


Вложения:
Комментарий к файлу: Статус l2tp сервера
l2tp_interface_status.jpg
l2tp_interface_status.jpg [ 81.54 KiB | Просмотров: 2739 ]
Комментарий к файлу: Статус IPSec
ipsec_status.jpg
ipsec_status.jpg [ 108.05 KiB | Просмотров: 2739 ]
Комментарий к файлу: Маршруты
main_routes.jpg
main_routes.jpg [ 136.02 KiB | Просмотров: 2739 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 19, 2016 23:35 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Если кто согласиться оказать помощь в настройке, то я готов обсудить материальное вознаграждение.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 20, 2016 05:12 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
man1988 писал(а):
Не пингуется ни ip l2tp сервера, ни ip lan интерфейса, ни ресурсы внутри сети.

дропы в логах, при попытках доступа к внутренним ресурсам, есть?
адресация сетей (внутренней за дфл, впн интерфейс, сеть клиента) простая, т.е. все разные?
если клиент подключается и в логах дропы есть, то значит впн настроен правильно, и надо сделать правила на дфл и проверить маршрутизацию на клиенте, выкладывай схему сетей с адресами сетей, типа локальная---впн---клиент, поможем
там все просто, в логах пишет от куда-куда не хватает правил, соответственно делаешь такое правило


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 20, 2016 09:55 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Цитата:
дропы в логах, при попытках доступа к внутренним ресурсам, есть?

Нету у меня дропов. WareShark`ом тоже смотрел на клиенте - пакеты исправно уходят и теряются.

Цитата:
адресация сетей

Да, сети не пересекаются.

Картинку со схемой выкладываю.


Вложения:
Комментарий к файлу: Схема сети
shema-vpn.jpg
shema-vpn.jpg [ 49.59 KiB | Просмотров: 2729 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 20, 2016 11:02 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
man1988 писал(а):
Нету у меня дропов. WareShark`ом тоже смотрел на клиенте - пакеты исправно уходят и теряются.

route print с клиента при подключенном впн и без него, в студию

значит что-то с маршрутизацией на клиенте, у него без впн, доступа к сети с такой-же адресацией (192.168.1.0) нет?
например шлюз клиента имеет маршрут на такую сеть

при правильной настройке клиента должны появится дропы с ip_vpn_client в качестве IP источника (ну или все заработает, если правила в порядке)
так же (на всякий случай, вдруг со стороны клиента все работает) еще надо посмотреть status/connection, есть ли там нужные соединения ( ip_vpn_client---- ip_vpn_dfl или ip_vpn_client---192.168.1.x), естественно - при пинге

не совсем понятна схема, если на дфл адрес впн интерфейса 10.0.1.20, то у клиента должен быть 10.0.1.xx, какой ip получает при подключении? (status/User Authentication можно посмотреть, или на клиенте)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 20, 2016 12:19 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
См картинку с клиента с подключенным vpn.

Цитата:
у него без впн, доступа к сети с такой-же адресацией (192.168.1.0) нет?

Нет. Я подключаюсь через телефон на Андроиде в качестве точки доступа.

Сеть:
1. которую выдает Ведроид - 192.168.10.0/24
2. домашняя сетка за DFL`кой - 192.168.1.0/24
3. сетка для VPN`а - 10.0.1.0/29
4. IP сервера 10.0.1.1
5. внешний белый IP 92.242.180.111

Цитата:
при правильной настройке клиента

Клиент - машина на win 7, галку "использовать как шлюз" в настройках снимал и ставил - ничего не поменялось.
Более там настраивать нечего.

Цитата:
еще надо посмотреть status/connection

Картинка уже есть, 6я сверху.

Цитата:
есть ли там нужные соединения...ip_vpn_client---192.168.1.x

Нет.
Я смотрел конекшены в таблице пока был запущен пинг, там нет соединений типа 192.168.1.х - 192.168.10.х.

Хотя странность одна есть. На интерфейсе DFL`ки lan висит IP 192.168.1.1. Так вот он то пингуется, то не пингуется.


Вложения:
Комментарий к файлу: Routing table on client with VPN connection.jpg
1Routing table on client with VPN connection.jpg
1Routing table on client with VPN connection.jpg [ 79.28 KiB | Просмотров: 2718 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 20, 2016 19:16 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
Вот картинка с маршрутами, когда vpn не подключен.


Вложения:
Комментарий к файлу: Маршруты без vpn
routing without vpn.jpg
routing without vpn.jpg [ 119.03 KiB | Просмотров: 2712 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 20, 2016 19:40 
Не в сети

Зарегистрирован: Чт сен 29, 2016 01:13
Сообщений: 39
В логах есть такое:
Warning RULE 6000051 Default_Rule ICMP l2tp-serv 10.0.1.5 192.168.1.1 ruleset_drop_packet drop

Это если я пытаюсь что-то пропинговать во внутренней сети.

Какое из правил поправить?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 21, 2016 05:30 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
важное замечание: маршрут на сеть l2tp-ip_pool, на интерфейсе ipsec туннеля, не нужен, его надо удалить, в настройках ipsec туннеля галки: advansed/Add route dynamically, Add route statically, снять
при подключении клиента поднимется динамический маршрут, причем не на интерфейс туннеля, а на интерфейс l2tp сервера, это можно глянуть в status/routes

man1988 писал(а):
В логах есть такое:
Warning RULE 6000051 Default_Rule ICMP l2tp-serv 10.0.1.5 192.168.1.1 ruleset_drop_packet drop


это и есть "дроп", он означает, что со стороны клиента все правильно настроено, пакеты от него идут, но правил для его обработки нет, поэтому срабатывает Default_Rule
в "дропе" все что надо, написано:
сервис: ICMP
интерфейс источника: l2tp-serv
сеть источника: l2tp-ip_pool
интерфейс назначения: core (т.к. 192.168.1.1 это адрес дфл, а для пинга IP в лок сети, интерфейс - lan)
сеть назначения: 192.168.1.1 (а для пинга IP в лок сети, сеть - lannet)

вот такое правило и делай
action: allow


Последний раз редактировалось Shkiper Пт окт 21, 2016 06:30, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 21, 2016 05:58 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
man1988 писал(а):
Я смотрел конекшены в таблице пока был запущен пинг, там нет соединений типа 192.168.1.х - 192.168.10.х.

таких соединений не будет, при пинге с подключенного клиента, будут l2tp-ip_pool - 192.168.1.х


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 38 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB