faq обучение настройка
Текущее время: Чт мар 28, 2024 15:15

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Не ходят пакеты в ipsec
СообщениеДобавлено: Пт фев 16, 2018 17:02 
Не в сети

Зарегистрирован: Ср апр 18, 2012 15:42
Сообщений: 146
Добрый день.
Столкнулся сегодня с такой проблемой.
Есть туннель между dfl-860 между dfl-260. Был доступ к ресурсам за обоими устройствами.
Но сегодня доступ пропал.
Но туннель активен. Ни каких ошибок в логах нет.
При обновлении конфигурации видно, что туннель поднимается. Пробовал удалить его и снова настроить. Результат такой же.
Правила тоже все есть.
Повторюсь на всякий случай произошло это внезапно. Ни каких изменений конфы не было.
Куда копать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Пт фев 16, 2018 17:16 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
запустить пинг на компе за одним роутером . и смотреть - пихает ли роутер пакеты в туннель .
также смотрим на выходе .
и смотрим логи. таблицу маршрутизации , все остальное .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Сб фев 17, 2018 12:30 
Не в сети

Зарегистрирован: Ср апр 18, 2012 15:42
Сообщений: 146
Пакеты пихает.
Схема сети такая:

DFL-860
белый айпи, сеть за устройством 192.168.0.0/24
DFL-260
белый айпи, сеть за устройством 192.168.6.0/24
ipsec поднимается, с этим проблем нет. Правила разрешающие есть. Для теста даже выбрал в сервисах all_tcpudpicmp.
Но доступа к ресурсам за устройствами нет.

Пингую компьютер с айпи 192.168.6.56, который стоит за DFL-260 с компьютера за DFL-860.
На DFL-860 вижу, что пинги уходят в туннель.
Изображение

На DFL-260 вижу, что пинги приходятв туннель.
Изображение

Но все равно получаю на компьютере с которого пингую ответ "превышен интервал ожидания для запроса".
И так со всеми адресами, которые пингую.

Если пытаюсь пропинговать компьютеры за DFL-860 c сети за вад-260, то вижу, что пакеты уходят уходят в туннель, но уже на DFL-860 не приходят.
Вобще тишина.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Сб фев 17, 2018 12:41 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
А Вы тем компам, которые пингуете, в брандмауэр разрешили отвечать другим адресам, помимо своей подсети?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Сб фев 17, 2018 13:05 
Не в сети

Зарегистрирован: Ср апр 18, 2012 15:42
Сообщений: 146
MTRX писал(а):
А Вы тем компам, которые пингуете, в брандмауэр разрешили отвечать другим адресам, помимо своей подсети?

Конечно.
И еще раз повторюсь.
Такая проблема возникла внезапно. Все работало и вдруг перестало.
Конфу не менял на DFLках.
И внутри сети сетей пинги проходят нормально.

И в тоже время если пытаюсь пропинговать с DFL-260 устройство за DFL-860, то пинги конечно де не проходят.
И в логах на DFL-260 исходящих пингов в тунель тоже нет. Вобще тишина.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Сб фев 17, 2018 14:24 
Не в сети

Зарегистрирован: Ср апр 18, 2012 15:42
Сообщений: 146
upd
На DFL-260 поднял еще один туннель с другим DFL-260 в другом городе.
Пакеты ходят без проблем. Доступ есть ко всем ресурсам за устройствами в обе стороны.

Я бы начал грешить на DFL-860, но на нем поднято еще 4 туннеля.
И с ними проблем нет.


upd1
еще один эксперимент
Все тот же DFl-860 и ему для связи так же DFL-260.
Туннель так же поднимается, но опять же нет доступа к ресурсам за ними.
На DFL-260 ( в разных частях города) провайдер один и тот же.
На DFL-860 другой.
Кто то из провайдеров что то блокирует скорее всего. Других догадок нет.
Но как понять кто и что...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Сб фев 17, 2018 22:01 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
А, бы...
Взял бы и отключил всякие биендмауэры и только потом грешил на dfl.
Хотя то наверное вяндовые, и обновляются регулярно?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Не ходят пакеты в ipsec
СообщениеДобавлено: Вс фев 18, 2018 07:01 
Не в сети

Зарегистрирован: Ср апр 18, 2012 15:42
Сообщений: 146
Vladimir22 писал(а):
А, бы...
Взял бы и отключил всякие биендмауэры и только потом грешил на dfl.
Хотя то наверное вяндовые, и обновляются регулярно?


На некоторых устройствах их даже нет.
Например на видеорегистраторе или принтере.
И таки грешу я не на дфл, а на провайдера. Хотя не соображу, что можно с его стороны блокировать, если туннель все же поднимается.

upd.
Удалось восстановить хождение пакетов выставлением следующей настройки на стороне DFL-860. На DFL-260 радикнопка осталась в положении по дефолту.
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB