faq обучение настройка
Текущее время: Пт сен 21, 2018 07:59

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт июл 18, 2017 19:10 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Есть два провайдера: Ростелеком (PPPoE) и Билайн (L2TP). Интернет настроен, все работает. На каждом интерфейсе (PPPoE и L2TP) настроены PPTP-сервера. Тоже все хорошо, из инета через vpn попадаем в локалку (как самый простой пример). Дополнительно на каждом интерфейсе настроены L2TP-сервера через IPSec. Тут начинаются проблемы. С первым провайдером (ростелеком через PPPoE) все норм. А вот с билайном беда: соединение устанавливается, шлюз локальной сети пингую. А вот на локальные машины нет доступа. В протоколах не спец, поэтому вопрос: может ли работать L2TP-сервер на интерфейсе L2TP-клиент ??? Или все таки это косяк?
Оборудование DFL-860E
Прошивка 11.10.01.06


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт июл 18, 2017 19:28 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8734
Откуда: Москва
Работать может. Смотрите логи, может что интересное будет.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт июл 18, 2017 19:59 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
В логах пусто. Пробовал на чистом (сброс по умолчанию) DFL - тоже самое. :(


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср июл 19, 2017 06:33 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8734
Откуда: Москва
Откатить на 10ю прошивку, и попробуйте снова

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пт июл 28, 2017 22:33 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Vladimir22 писал(а):
Откатить на 10ю прошивку, и попробуйте снова

Откатился. Сбросил. Настроил L2TP-сервер. Не помогло. Все тоже самое.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пт июл 28, 2017 22:34 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Есть у кого нибудь возможность проверить работу L2TP-сервера через L2TP-клиент провайдера???


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Сб июл 29, 2017 08:31 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8734
Откуда: Москва
У меня работает l2tp через PPTP провайдера.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср авг 02, 2017 20:24 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Vladimir22 писал(а):
У меня работает l2tp через PPTP провайдера.

Верю. Через PPPoE тоже работает. Теперь вопрос, почему через L2TP провайдера не выходит... :?:


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср авг 02, 2017 21:05 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8296
Откуда: Москва
Скриншоты покажите

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пт авг 04, 2017 09:10 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 6989
Откуда: D-Link. Moscow
Можно поступить проще. Зная IP с которого пытаются установить подключение, можно снять дамп (в т.ч. с самого DFL). С анализом я помогу если скинете в почту и опишите, что куда и откуда.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пн янв 29, 2018 11:27 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Прошу прощения что долго не писал - пришлось искать два DFL-260E для тестового стенда.

Sergey Vasiliev писал(а):
Можно поступить проще. Зная IP с которого пытаются установить подключение, можно снять дамп (в т.ч. с самого DFL). С анализом я помогу если скинете в почту и опишите, что куда и откуда.

Проблем с подключением нет. Все подключается. После подключения доступ к DFL есть, но к оборудованию за ним - нет.

Vladimir22 писал(а):
У меня работает l2tp через PPTP провайдера.

А вот это интересно. У меня на тестовом стенде не получилось.

Сейчас приведу настройки тестового стенда.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пн янв 29, 2018 12:32 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Есть две DFL-260E (SW: 11.10.01.06):
- DFL1 - выполнят роль провайдера. На нем подняты на WAN интерфейсе PPTP и L2TP сервера якобы для доступа в интернет.
- DFL2 - предположим, что это мое клиентское оборудование. Здесь статика на WAN 10.0.0.100. Дополнительно настроены PPTP и L2TP клиенты, которые коннектятся к DFL1 на WAN 10.0.0.1. Итого как бы имеем 3 канала интернета: WAN 10.0.0.100, PPTP_client 11.0.0.100, L2TP_client 12.0.0.100.

192.168.20.0/24 <===> (LAN: 192.168.20.1) DFL1 (WAN: 10.0.0.1) <===> (WAN: 10.0.0.100) DFL2 (LAN: 192.168.30.1) <===> 192.168.30.0/24

Далее на DFL2 поднимаю PPTP и L2TP сервера на WAN, на PPTP_client, на L2TP_client. Итого получили 6 впн серверов. К этим серверам буду подключаться извне (в моем случае из 192.168.20.0/24 LAN DFL1)

Подключена тестовая машина к DLF2 в LAN (192.168.30.0/24). К ней будем пытаться попасть.

Подключена машина к DLF1 в LAN (192.168.20.0/24) - якобы удаленная машина. На ней будем поднимать впн клиенты к 10.0.0.100, 11.0.0.100, 12.0.0.100 и пробовать попасть в 192.168.30.0/24.
Итого имеем 6 впн подключений:
1 - pptp-клиент к DFL2 WAN (10.0.0.100) - подключается, есть доступ к управлению DFL, есть доступ в подсеть 192.168.30.0/24, пинги стабильные. Итого работает отлично.
2 - pptp-клиент к DFL2 PPTP_client (11.0.0.100) - подключается, есть доступ к управлению DFL (но медленный, что то тупит), есть доступ в подсеть 192.168.30.0/24, пинги скачут. Итого работает нормально.
3 - pptp-клиент к DFL2 L2TP_client (12.0.0.100) - подключается, есть доступ к управлению DFL (но медленный, что то тупит), есть доступ в подсеть 192.168.30.0/24, пинги стабильные. Итого работает нормально.
4 - l2tp-клиент к DFL2 WAN (10.0.0.100) - подключается, есть доступ к управлению DFL, есть доступ в подсеть 192.168.30.0/24, пинги стабильные. Итого работает отлично.
5 - l2tp-клиент к DFL2 PPTP_client (11.0.0.100) - подключается, есть доступ к управлению DFL, нет доступа в подсеть 192.168.30.0/24, при пинге теряет пакеты. Итого не работает.
6 - l2tp-клиент к DFL2 L2TP_client (12.0.0.100) - подключается, есть доступ к управлению DFL, нет доступа в подсеть 192.168.30.0/24, при пинге теряет пакеты. Итого не работает.

Файлы настроек прилагаю. Доступы: admin/Qwerty123. Фраза для ipsec: Qwerty123. Доступ для впн: test/Qwerty123.

Уважаемая тех. поддержка. Воспроизведите пожалуйста у себя. И скажите где я накосячил...


Вложения:
DFL-config.rar [12.81 KiB]
Скачиваний: 19
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пн янв 29, 2018 17:13 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Скриншоты с DFL1:

1. Интерфейсы
Скрытый текст: показать
Изображение
2. Адресная книга
Скрытый текст: показать
Изображение
3. Таблица маршрутизации
Скрытый текст: показать
Изображение
4. IP-правила
Скрытый текст: показать
Изображение
Изображение
5. Впн-сервера
Скрытый текст: показать
Изображение
6. Правила авторизации для впн-серверов
Скрытый текст: показать
Изображение
7. Группы интерфейсов
Скрытый текст: показать
Изображение
8. Локальные пользователи
Скрытый текст: показать
Изображение



Скриншоты с DFL2:

1. Интерфейсы
Скрытый текст: показать
Изображение
2. Адресная книга
Скрытый текст: показать
Изображение
3. Таблица маршрутизации
Скрытый текст: показать
Изображение
Изображение
Изображение
Изображение
Изображение
4. Правила маршрутизации
Скрытый текст: показать
Изображение
Изображение
Изображение
Изображение
5. IP-правила
Скрытый текст: показать
Изображение
Изображение
Изображение
6. Впн-клиенты
Скрытый текст: показать
Изображение
7. IPSec для L2TP-серверов
Скрытый текст: показать
Изображение
Изображение
Изображение
Изображение
8. Впн-сервера
Скрытый текст: показать
Изображение
Изображение
Изображение
9. Правила авторизации для впн-серверов
Скрытый текст: показать
Изображение
10. Группы интерфейсов
Скрытый текст: показать
Изображение
Изображение
11. Локальные пользователи
Скрытый текст: показать
Изображение


Вложения:
Скриншоты.rar [780.25 KiB]
Скачиваний: 15
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Пн янв 29, 2018 22:45 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Замечена еще одна странная ситуация на реальном объекте (не в тестовом стенде).
Если компьютер находится за роутером, то с этого компьютера L2TP-клиент подключается к L2TP-серверу, поднятому на L2TP-клиенте на DFL. При этом доступ к управлению DFL есть, доступа к сети за DFL нет, пинги проходят 1 из 10 (слишком много теряется пакетов). Как и на тестовом стенде.
Но если компьютер подключен напрямую к интернету (например статика, PPPoE, 3G-модем), без роутера, то L2TP-соединение вообще не устанавливается. При этом в логах наблюдаю поднятие ipsec-транспорта, но затем попытка авторизоваться без имени (user=пусто). Чем дальше в лес...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 09:11 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8734
Откуда: Москва
а вы точно уверены . что вы VPN клиентам выдаете "белые" адреса ? ;-) намек такой ....
даже если это так , зачем такие большие маски ?

-зачем в группе g_clients интерфейс WAN ? может там нужен LAN ? $-)
и почему правила хождения трафика везде какой то NAT ?!" вместо банального правила

allow g_clients /all-nets g_clients /all-nets all-service
это правило разрешит хождение трафика между всеми вашими интерфейсами , и клиентами.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 29


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB