faq обучение настройка
Текущее время: Чт мар 28, 2024 13:09

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Пн мар 06, 2017 21:22 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Доброго времени суток.
Есть 2 Dlink-DFL 1660, между ними поднят Ipsec. Соединение устанавливается только когда со стороны dfl B идет трафик в сети dfl A. Если пытаться пинговать/обращаться сети живущие на dfl B из сетей dfl A то соединение не устанавливается.
Можно ли как-то сделать чтобы Ipsec поднимался когда идет трафик с обоих сторон?
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Пн мар 06, 2017 22:33 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Вот что в логах .. 10.10.250.0 сеть на DFL A, 10.10.4.0 на DFL B

Вложение:
2017-03-06_22-30_D-Link Firewall.jpg
2017-03-06_22-30_D-Link Firewall.jpg [ 67.53 KiB | Просмотров: 2826 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Чт мар 09, 2017 09:31 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Ни у кого нет ни каких идей? Хоть в какую сторону копать, подскажите?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Чт мар 09, 2017 09:46 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
настрйоки ипсек с двух сторон покажите .
инетерсует момент нет ли там в RemoteEndPoint all-nets

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Чт мар 09, 2017 17:09 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Ipsec на DFL A
Вложение:
2017-03-09_16-48_D-Link A.jpg
2017-03-09_16-48_D-Link A.jpg [ 61.87 KiB | Просмотров: 2790 ]

IPsec на DFL B
Вложение:
2017-03-09_16-49_D-Link B.jpg
2017-03-09_16-49_D-Link B.jpg [ 78.32 KiB | Просмотров: 2790 ]


Расскажу немного о схеме сети, т.к. видно что именно в этом проблема.
Есть ЦО (называется 15Х), в нем есть одна DFL 1660 (DFL A) и Cisco 2951. Все внутренние сети физически живут на Cisco 2951 (сети 10.10.208.0,10.10.216.0,10.10.222.0 etc). DFL A и Cisco 2951, кои находятся в офисе 15Х общаются между собой по адресации 10.10.14.х . На DFL A никаких адресов кроме 10.10.14.254 нет

Есть Цод (называется 2Х), в нем есть DFL 1660 (DFL B). Её внутренние сети 10.10.4.0,10.10.20.0 и 10.10.21.0. Так же она имеет адрес 10.10.14.2 и видет в этой сети оборудование центраьного офиса 15Х (Cisco 2951 и DFL A).

Как настроил :
На DFL A создал объекты адресной книги с адресами сетей Cisco 2951 (сети 10.10.208.0,10.10.216.0,10.10.222.0 etc) и сказал что эти сетки живут за адресом 10.10.14.1 (адрес Cisco 2951 в сети 10.10.14.х). Далее создал Ipsec подключение до DFL B, сказал что local network это сети живущие на Cisco 2951 (сети 10.10.208.0,10.10.216.0,10.10.222.0 etc), remote network это сети живущие на DFL B (сети 10.10.4.0,10.10.20.0 и 10.10.21.0). Remote endpoint указал адрес DFL B 10.10.14.2.
Co стороны DFL B сделал тоже самое только Local network сетки DFL-B, remote network сетки Cisco 2951, Remote endpoint адрес DFL A 10.10.14.254.

Примерно так. В данной конфигурации Ipsec старнует только когда трафик идет со стороны DFL B до сетей что на Cisco2951. В обратную сторону не поднимается( Само собой на Cisco 2951 есть маршрут говорящий, что сети DFL B живут за адресом DFL A (10.10.14.254),иначе бы вообьще не робило...
Вложение:
A-B nets.jpg
A-B nets.jpg [ 75.49 KiB | Просмотров: 2790 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Чт мар 09, 2017 17:55 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
может KeepAlive на DFL поднять .
у меня складывается впечатление . что траффик иннициирует не сам DFL а циска , и DFL просто как то игнорирует этот запрос

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Пт мар 10, 2017 09:39 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Еще такая особенность - если пытаться пингануть с DFL A сети DFL B, то вот такая ошибка
Вложение:
2017-03-10_09-33_D-Link Firewall.jpg
2017-03-10_09-33_D-Link Firewall.jpg [ 19.07 KiB | Просмотров: 2777 ]


Пинги с DFL B до сетей Cisco идут нормально...
Вложение:
2017-03-10_09-33_D-Link-B.jpg
2017-03-10_09-33_D-Link-B.jpg [ 39.24 KiB | Просмотров: 2777 ]


Быть может нужно на DFL A добавить маршруты до сетей DFL B с указанием гейта 10.10.14.2 (Адрес DFL B в сети 10.10.14.0)? Помимо того маршрута, что динамически создается при поднятии Ipsec. Хотя звучит даже бредово)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Пт мар 10, 2017 12:12 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
я вообще не создаю динамически маршруты .
создаю руками и мониторю их. есть конечно несколько минусов . но они решабельны

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Пт мар 10, 2017 13:10 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Хорошо, попробую выставить keepAlive и если не поможет, создам статик маршруты.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 вопрос по Ipsec
СообщениеДобавлено: Пт мар 10, 2017 21:42 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Аккуратнее со статик маршрутами при динамическом подключении...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB