faq обучение настройка
Текущее время: Ср ноя 14, 2018 04:16

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 10:32 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Vladimir22 писал(а):
а вы точно уверены . что вы VPN клиентам выдаете "белые" адреса ? намек такой ....
даже если это так , зачем такие большие маски ?
У меня провайдер Билайн. Он раздает интернет посредством L2TP (без ipsec), ip-адрес постоянный белый. Это я и воспроизвел на стенде. Т.е. на DFL1 как на провайдеровском оборудовании поднят L2TP (без ipsec) и выдаю как бы постоянные белые адреса. По этой же причине и маски сделал побольше.
Vladimir22 писал(а):
-зачем в группе g_clients интерфейс WAN ? может там нужен LAN ? $-)
и почему правила хождения трафика везде какой то NAT ?!" вместо банального правила
Нужен как раз WAN+vpn_pptp+vpn_l2tp. Это клиентские подключения на DFL2: интернет через обычную статику, интернет через PPTP-подключение, интернет через L2TP-подключение. Это в тестовом стенде я сделал 3 подключения, что бы можно было тестировать разные типы подключений. Обычно в реальном оборудовании что то одно. Потом на DFL2 на интерфейсах WAN, pptp_client (впн-клиент к vpn_pptp на DFL1 для интернета), L2TP_client (впн-клиент к vpn_l2tp на DFL1 для интернета) поднимаю впн-сервера (но уже с ipsec) и уже пробую к ним подключиться с внешки. В тестовом стенде это из локальной сети DFL1(провайдеровский) 192.168.20.0/24.
По поводу NAT - вечером попробую allow.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 10:46 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8776
Откуда: Москва
Вы точно уверены что клиентам надо назначать адреса 11.0.0.0\8 ? Это как бы резервированные адреса ....
разберитесь для начала в адресации ... из выше вашего написанного , я ни чего не понял..... вообще ....

а про ваши туннели , есть небольшая хитрость ... надо создать группу интерфейсов куда надо занести интерфейс по которому приходит интернет, в вашем случае L2tp , и уже этот созданный интерфейс , использовать в настройках туннелей ;-) как то так можно обойти этот момент .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 11:05 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Vladimir22 писал(а):
Вы точно уверены что клиентам надо назначать адреса 11.0.0.0\8 ? Это как бы резервированные адреса ....
Хорошо. Вечером назначу 20.0.0.0/24, 21.0.0.0/24, 22.0.0.0/24. Они то навряд ли где то зарегистрированы. И маску сделаю поменьше. Хотя я сомневаюсь что 11.0.0.0\8 где то зарегистрирован в DFL и это поможет данной проблеме.
Vladimir22 писал(а):
разберитесь для начала в адресации ... из выше вашего написанного , я ни чего не понял..... вообще ....
Ок. А как по другому сделать тестовый стенд, что бы поднять L2TP-сервер на L2TP-клиенте? У вас есть метод проще?
Vladimir22 писал(а):
а про ваши туннели , есть небольшая хитрость ... надо создать группу интерфейсов куда надо занести интерфейс по которому приходит интернет, в вашем случае L2tp , и уже этот созданный интерфейс , использовать в настройках туннелей как то так можно обойти этот момент .
Эта хитрость нужна для PPTP-сервера и L2TP-сервера без IPSec, т.к. при настройке этих впн серверов нет возможности выбрать pptp и l2tp клиентов. А при настройке L2TP-сервера через IPSec - при настройке ipsec выбирается l2tp-клиент, а при настройке l2tp-сервера выбирается только что созданный ipsec.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 11:11 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8776
Откуда: Москва
Striker1e писал(а):
Хорошо. Вечером назначу 20.0.0.0/24, 21.0.0.0/24, 22.0.0.0/24.

вы по частные адреса слышали что то ?!
откланеюсь ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 11:20 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Это тестовый стенд (не реальный объект) не подключенный к внешнему миру. Если вы мне объясните почему я не могу для тестов использовать эти адреса в тестовом стенде - я буду счастлив !!!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Вт янв 30, 2018 21:42 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Смена адресации, сужение маски и использование allow вместо nat никак не повлияло на ситуацию.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср янв 31, 2018 09:17 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8776
Откуда: Москва
а в логах есть что то ?!
можно настроить SYSlog , там иногда бывает больше полезной информации

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср янв 31, 2018 09:40 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
В логах ничего полезного. Попробую syslog поковырять.

Vladimir22 писал(а):
У меня работает l2tp через PPTP провайдера.
А у вас точно l2tp через PPTP и все работает? Именно l2tp через ipsec? И именно на pptp провайдера (не pppoe какой нить) ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср янв 31, 2018 10:12 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8776
Откуда: Москва
чистый L2tp.
Я отказался от всяких IPSEC в пользу OpenVPN

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Ср янв 31, 2018 10:17 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Попробую вечером подключиться к чистому. По результату отпишусь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Чт фев 01, 2018 10:42 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Так и есть. "Чистый" L2TP (без ipsec) работает отлично на всех интерфейсах. Так что теперь просьба техподдержке проверить работу L2TP-сервера over IPSec поднятого на интерфейсе pptp-client или l2tp-client !!!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Сб июн 30, 2018 12:03 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Здравствуйте.
Так все-таки, уважаемая техническая поддержка, удалось воспроизвести проблему у себя? Стоит надеяться, что L2TP-Server over IPSec на L2TP-Client заработает (в ближайшем будующем)? Или уже нет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Сб июн 30, 2018 13:53 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8327
Откуда: Москва
Думаю, для линейки DFL-260e/860e/1660/2560 новых прошивок не будет, ибо оборудование давно в статусе EoL.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и L2TP-Server over IPSec на L2TP-Client
СообщениеДобавлено: Сб авг 25, 2018 21:48 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 188
Другого я и не ожидал. Жалко конечно.
Но выход есть. Их несколько:
1. Использовать L2TP-Server без IPSec (это первое, что приходит на ум, но нужно на компах ковырять реестр и отключать IPSec в vpn-подключениях, что как то не очень).
2. Договориться с провайдером и вместо L2TP сделать себе например статический адрес. (можно, да неохота)
3. Сменить оборудование (можно, но не спортивно)
4. А вот тут самое интересное. Своими силами сделать, чтобы на DFL на котором поднимается VPN интернет приходил не через L2TP.

Последний пункт рассмотрим подробнее.
Копал в сторону прозрачного режима - не подошло, т.к. в этом режиме коммутируются маршруты только физических интерфейсов (+vlan).
С чего начал - перед DFL-860 поставил DFL-210 и поднял на нем инет через L2TP от провайдера. На DFL-860 настроил типа статики, адрес wan совпадает с внешним на DFL-210. Настроил правила всякие... Норм в инет выхожу с DFL-860.
Теперь хочу прозрачно попадать с наружи на DFL-860. С помощью "Routing Rules" пробросил все протоколы что приходят на внешку DFL-210 в ее локалку, которая подключена к WAN DFL-860. Дополнительно на DFL-210 поотключал всякие "IPsec Before Rules", "L2TP Before Rules" и "PPTP Before Rules". И все... если смотреть настройки DFL-860 - то выглядит как настоящая статика. И теперь L2TP-Server работает на этом провайдере и именно на DFL-860, т.к. он уже поднимается не на L2TP-Client, а просто на WAN.
Можно было еще заморочиться и все сделать на виртуальных маршрутизаторах (есть такая фича в DFL-860 на последних прошивках) и тогда бы DFL-210 не понадобился. Косяков пока не наблюдаю. VPN (pptp, l2tp) и тунели ipsec вроде пашут.
Я все это к тому, что безвыходных ситуаций не бывает... :D


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB