faq обучение настройка
Текущее время: Ср апр 24, 2019 15:46

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 42 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Вт мар 13, 2018 12:31 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Доброго дня, уважаемое сообщество.

Есть три географически удаленных помещения, со своими подсетями. В двух межсетевыми экранами являются DFL-860E, в третьем DFL260E.
На одном из DFL-860E настроен PPTP-сервер, 260Е и 860E должны к нему подключаться. На 860Е, на котором поднят VPN-сервер, на вкладке Status - User Authentication видно, что пользователь, под которым подключается, второй 860E, авторизован т.е. соединение есть.
Однако, DFL260E, не подключается к серверу к 860Е с сервером PPTP.

Прошу помочь в решении проблемы.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 12:36 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8850
Откуда: Москва
ЛОГИ !
Вангощлем и хрустальные шары на техобслуживании .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 15:25 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Vladimir22 писал(а):
ЛОГИ !
Вангощлем и хрустальные шары на техобслуживании .


Извиняюсь за неполноту повествования, в этом вопросе я еще новичок.
Где на DFL-е находятся необходимые логи?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 15:42 
Не в сети

Зарегистрирован: Ср мар 02, 2016 10:24
Сообщений: 11
Насколько я помню, в DFL-е целая закладка Status - все возможные логи на все случаи жизни.

Vladimir22, у меня тут кофейная гуща свежая, и она подсказывает, что а не в шифровании ли дело. Моя 860Е от ФСТЭКа поддерживает только RC4 40 и 56 bit. Раньше был 210, который умел толи 1024, толи 128 бита. И я помню очень долго не мог понять, почему настройки от 210 не заводятся в 860, и к 210 по VPN семерки коннектятся, а к 860 - уже нет. А ХР и то и другое работает отлично. Пока не дошло, что ФСТЭК не умеет расшифровывать взломостойкий трафик.
Победил только подключением без шифрования.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 15:52 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8434
Откуда: Москва
Если одним из оператором является МГТС, то такое возможно. Они режут PPTP.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 16:31 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
SLY_rus писал(а):
Насколько я помню, в DFL-е целая закладка Status - все возможные логи на все случаи жизни.

Верно ли понимаю, что все события, связанные с подключение/отключением к DFL-у, хранятся в Status=>Logging ?

SLY_rus писал(а):
Vladimir22, у меня тут кофейная гуща свежая, и она подсказывает, что а не в шифровании ли дело. Моя 860Е от ФСТЭКа поддерживает только RC4 40 и 56 bit. Раньше был 210, который умел толи 1024, толи 128 бита. И я помню очень долго не мог понять, почему настройки от 210 не заводятся в 860, и к 210 по VPN семерки коннектятся, а к 860 - уже нет. А ХР и то и другое работает отлично. Пока не дошло, что ФСТЭК не умеет расшифровывать взломостойкий трафик.
Победил только подключением без шифрования.

Вопрос, а как организовать подключение без шифрования, на 260Е?

MTRX писал(а):
Если одним из оператором является МГТС, то такое возможно. Они режут PPTP.

МГТС, я так понимаю, только к Москве относится, у меня же все происходит несколько южнее)))


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 16:44 
Не в сети

Зарегистрирован: Ср мар 02, 2016 10:24
Сообщений: 11
В Logging хранятся ВСЕ события, связанные с трафиком. Соответственно, часто бывает, что время жизни у события очень маленькое, т.к. лог это не резиновый, а всего 500 записей.

Отключить шифрование легко. В PPTP сервере указать возможность подключаться с шифрованием none, где RC4 40 и 56.
На PPTP Clientе в закладке Security указать MPPE Encryption -- None, или любую пару, которая будет и на сервере, и на клиенте.
Но это если в шифровании дело.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 16:45 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8850
Откуда: Москва
ТС , или вы подтянете знания ... хотя бы где логи искать ... или придется зрить в мою подпись :-)
"волшебного порошка" у серии DFL Просто нет... оборудование несколько другого класса :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 16:48 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8850
Откуда: Москва
SLY_rus писал(а):
Но это если в шифровании дело.

логи бы увидеть :-) а то может там сейчас окажется что где то хитрый нат, или еще какие ни будь эксклюзивы ...
ТС рисуйте схему
указание IP ОБЯЗАТЕЛЬНО !!!! иказание типов подключения ОБЯЗАТЕЛЬНО !!!!! можете один или два октета замазать звездочками ....
ну или к товарищу . кто гущу предлагал ... ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 16:52 
Не в сети

Зарегистрирован: Ср мар 02, 2016 10:24
Сообщений: 11
Цитата:
ну или к товарищу . кто гущу предлагал ... ;-)


Вот не надо на гущу, мне вон в соседней теме как раз хрустальный шар пригодился бы. :roll:


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 13, 2018 16:52 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7146
Откуда: Екатеринбург
... сообщение удалено за неактуальностью ...

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Ср мар 14, 2018 12:56, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 14, 2018 12:40 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Делал трассировку маршрутов внешних IP-адресов сервера и клиента.
Получил следующую картину - от клиента к серверу трассировка проходит, а обратно обрывается на как-ом-то IP-адресе.
При этом с DFL-а сервера (Tools-Ping) внешний IP-адрес DFL-а клиента не пингуется вообще.

SLY_rus писал(а):
В Logging хранятся ВСЕ события, связанные с трафиком. Соответственно, часто бывает, что время жизни у события очень маленькое, т.к. лог это не резиновый, а всего 500 записей.

Лог сервера: https://yadi.sk/i/hbLOZq_N3TMUbs
Лог клиента: https://yadi.sk/i/hmV-l1xD3TMUbV

SLY_rus писал(а):
Отключить шифрование легко. В PPTP сервере указать возможность подключаться с шифрованием none, где RC4 40 и 56.
На PPTP Clientе в закладке Security указать MPPE Encryption -- None, или любую пару, которая будет и на сервере, и на клиенте.
Но это если в шифровании дело.

Мой предшественник все так и настроил.

Vladimir22 писал(а):
логи бы увидеть :-)

Логи чуть выше прикрепил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 14, 2018 13:03 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7146
Откуда: Екатеринбург
Vadim_PV писал(а):
Делал трассировку маршрутов внешних IP-адресов сервера и клиента.
Получил следующую картину - от клиента к серверу трассировка проходит, а обратно обрывается на как-ом-то IP-адресе.
Если разрешить пинг от сервера к клиенту трассировка должна дойти до клиента (IP правила на клиенте и определенные настройки на сервере). Но потери узлов по пути возможны. Это не редкость.

Vadim_PV писал(а):
... При этом с DFL-а сервера (Tools-Ping) внешний IP-адрес DFL-а клиента не пингуется вообще.
Это определяется правилами DFL клиента и по-умолчанию запрещено. Т.е. результат не удивителен.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Ср мар 14, 2018 16:02, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 14, 2018 13:10 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8850
Откуда: Москва
Код:
"2018-03-14
12:11:03"   Warning   "PPP
2500101"                  "authentication_failed
ppp_terminated"

ни чего не наводит ?! с какое слово перевести ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 14, 2018 17:58 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
YuriAM писал(а):
Это определяется правилами DFL клиента и по-умолчанию запрещено. Т.е. результат не удивителен.

Понял, спасибо.

Vladimir22 писал(а):
Код:
"2018-03-14
12:11:03"   Warning   "PPP
2500101"                  "authentication_failed
ppp_terminated"

ни чего не наводит ?! с какое слово перевести ?!

"Авторизация не прошла" - что может быть причиной неудачной авторизации?
Вопрос в том, что это пытается авторизоваться пользователь не имеющий отношения DFL-у клиенту, о котором идет речь.
DFL-клиент должен авторизоваться под другим юзером.

И как раз вопрос, в логе есть запись:
Код:
2018-03-14
17:29:57    Warning    PPP         authentication_failed
2500101                        ppp_terminated

tunnel_type=PPTP user=sklad2
- как ее правильно интерпретировать?
Пользователя "sklad2" нет ни на одном из межсетевых экранов подключенный к DFL-у серверу, и его нет на DFL-е сервере


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 42 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB