faq обучение настройка
Текущее время: Вт мар 19, 2024 05:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Failover PPTP DFL-860E
СообщениеДобавлено: Пн окт 08, 2018 12:37 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Доброго дня, уважаемые форумчане!

Появилась задача организации отказоустойчивого VPN-соединения между несколькими DFL-860E.
Погуглил, инструкции для PPTP не нашел.
Суть: есть головной DFL-860E, к нему подключены два провайдера, и настроен failover - в случае отключения основного провайдера, подключается запасной с другим IP-адресом.
Так же на головном DFL-е настроен сервер PPTP, и есть DFL-860E на котором настроен PPTP-клиент.
Что пытаюсь реализовать: мне необходимо создать VPN-подключение от "клиента" к "серверу", даже когда "сервер" перешел на резервный канал интернет.
На головном DFL-е поднял второй PPTP-сервер, и на удаленном DFL-е создал второй PPTP-клиент. Что получилось - перешел на резервный канал интернет, на головном DFL-е в Status=>User Authentication, отобразился пользователь под которым авторизовался второй PPTP-клиент.
Пробую из сети второго PPTP-клиента, обратиться к ресурсам сети PPTP-сервера - пинги не идут, ресурсы не доступны.

Правила для vpn-подключений делал зеркально:
Код:
Основной:
from_VPN___Allow___VPN___all-nets___lan__lannet_____all_services
to_VPN_____Allow___lan____lannet____VPN__all-nets___all_services
Запасной:
from_VPN2__Allow___VPN2__all-nets___lan__lannet_____all_services
to_VPN2____Allow___lan____lannet____VPN2_all-nets___all_services
 


Прошу подсказать как правильно организовать подключение PPTP-клиентов, при смене IP-адреса на DFL-е с сервером PPTP.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Пн окт 08, 2018 14:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Очень необычное решение. Вообще, то мы не предполагали такого использования PPTP, но можно попробовать сделать так.

PPTP клиент WAN1 client<--> Server WAN1 заставляем работать постоянно, и устанавливаем метрику 60 и вешаем мониторинг маршрута.
PPTP клиент WAN2 clien <-->Server WAN2. Клиент заставляем работать по требованию и делаем маршрут с метрикой 90.

Одновременно заставлять работать не рекомендуемую.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Пн окт 08, 2018 14:14 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Sergey Vasiliev писал(а):
Очень необычное решение. Вообще, то мы не предполагали такого использования PPTP

А каким образом "правильно" организовать подключение к PPTP-серверу, при смене IP-адреса фаервола, на котором он настроен?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Пн окт 08, 2018 17:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Ну на вскидку, если для одного WAN, то можно подключатся по доменному имени, например через dyndns

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Ср окт 10, 2018 16:35 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
думаю, это реализуемо. Тем более, что второе pptp соединение поднимается. Кроме правил, надо следить за верными маршрутами с обеих сторон туннеля.

Возможно получится с использованием мониторинга маршрута и/или PBR.

Может быть, даже без этого. За счет динамических маршрутов. Но надо пробовать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Ср окт 10, 2018 17:42 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
YuriAM писал(а):
думаю, это реализуемо. Тем более, что второе pptp соединение поднимается. Кроме правил, надо следить за верными маршрутами с обеих сторон туннеля.
Возможно получится с использованием мониторинга маршрута и/или PBR.
Может быть, даже без этого. За счет динамических маршрутов. Но надо пробовать.

т.е. два PPTP-сервера могут одновременно работать на одном DFL-е, и в зависимости от указания Outer Interface Filter "получать" подключения с разных wan-ов?

А можно ли wan1 и wan2 объединить в группу, и указать эту группу в качестве Outer Interface Filter, при настройке PPTP-сервера? Точнее -вижу что можно, но будет ли работать?
Тогда на DFL-ах клиентах, создаю по два PPTP клиента, и они каким-то образом, должны переключаться, в зависимости от доступности указанной Remote Endpoint...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Чт окт 11, 2018 06:44 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Надо пробовать. То что одновременно живут и PPTP и l2tp - на одном wan, совершенно точно.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Чт окт 11, 2018 11:31 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Я не пробовал, но, думаю, два pptp сервера на разных каналах должны работать. Но для этого ОБЯЗАТЕЛЬНО надо настроить PBR.

Чтобы каждый из серверов отвечал по своему WAN. Лучше при наладке вначале PBR делать для сервиса, который покрывает по возможности всё. Т.е. all-services.

А уже потом сократить этот сервис до нужного набора. Это pptp-suite. Можно сразу и с него пробовать начать.

В помощь:
http://forum.dlink.ru/viewtopic.php?t=65359&start=14

В качестве подготовки для Вашей работы с PBR, настройте, чтобы DFL отвечал на пинги по обоим WAN.

Если после этого в правилах маршрутизации поменять сервис ping-inbound на pptp-suite, ваша задачу будет решена на 80-90 %.

После того, как это заработает надо будет настраивать мониторинг маршрутов на клиентах.

А может, ну его в баню, и сразу настроить IPsec?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Чт окт 11, 2018 14:07 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Спасибо за подсказки!

На данный момент, что имею: головной DFL, все еще на резервном канале Интернет. Настроил на нем второй PPTP-сервер где wan2(резервн. пров) указал как Outer server IP.
На удаленном DFL-е настроил второй PPTP-клиент где, как Remote Endpoint, указан IP-адрес wan2 головного DFL-а.
Далее, на удаленном DFL-е, снял галку автоматического создания маршрута для первого PPTP-клиента. В routes создал маршрут для первого PPTP-клиента с мониторингом, пингующим хост локальной сети головного DFL-а.
В status=>routes маршрут первого PPTP-клиента отобразился с флагами MX.
После этого подключение установилось: второй PPTP-клиент удаленного DFL-а, подключился ко второму PPTP-сервреру головного DFL-а.

Вроде как все хорошо... но я не знаю, что будет когда подключится основной канал интернет.
По идее мониторящийся маршрут первого PPTP-клиента должен получить ответный пинг и активировать свой маршрут, и соответственно пустить трафик на первый PPTP-сервер. Таким образом произойдет переключение между PPTP-клиентами и серверами.

Так же столкнулся с с трудностью, изначально после настройки, пинги не шли, потому что не были выключен интерфейс и правила IPSec, как только все это дело выключил, пинги пошли, и поднялся полноценный канал.

YuriAM писал(а):
А может, ну его в баню, и сразу настроить IPsec?

Это план "Б" т.к. работающие VPN-ы от меня потребовали здесь и сейчас, и сию секунду.
IPsec-канал получилось настроить между двумя DFL-860E, а вот между DFL-860E и DFL-260E канал ну никак не поднимается.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Чт окт 11, 2018 14:28 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Vadim_PV писал(а):
В status=>routes маршрут первого PPTP-клиента отобразился с флагами MX.

не стоит сразу делать мониторинги. поднимите два туннеля . они нормально должны жить.

так же советую указать на сервере (в вашем случае голова ) в свойствах пользователя есть такая штука, как "сеть за пользователем". вот туда надо вписывать удаленные сети. DFL не смотрит за этим полем и основывается только на таблицу маршрутизации.

вы можете из офиса плоднять например и PPTP и L2TP . они будут работать автоматически . тут можно и перекрёстно поднять такие штуки. :-)
вообщем дерзайте ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Чт окт 11, 2018 15:09 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Vladimir22 писал(а):
не стоит сразу делать мониторинги. поднимите два туннеля . они нормально должны жить.

Без мониторинга не получилось завернуть трафик из удаленной сети на второй PPTP-клиент.

Vladimir22 писал(а):
так же советую указать на сервере (в вашем случае голова ) в свойствах пользователя есть такая штука, как "сеть за пользователем". вот туда надо вписывать удаленные сети. DFL не смотрит за этим полем и основывается только на таблицу маршрутизации.

Сети вписаны. Только не понимаю зачем эту нужно :oops:

Vladimir22 писал(а):
вы можете из офиса плоднять например и PPTP и L2TP . они будут работать автоматически . тут можно и перекрёстно поднять такие штуки. :-)
вообщем дерзайте ;-)

Я столкнулся с тем, что несколько подключений, не могут работать одновременно. Допустим на удаленном DFL-е был включен IPSec, и PPTP-клиент. В итоге не работало ни одно, ни другое. Как только выключал что-то одно, происходило подключение к головному DFL-у.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Чт окт 11, 2018 16:51 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
YuriAM писал(а):
Я не пробовал, но, думаю, два pptp сервера на разных каналах должны работать. Но для этого ОБЯЗАТЕЛЬНО надо настроить PBR.

Это нужно чтобы оба канала интернет работали одновременно?

YuriAM писал(а):

Я та кпонимаю это как раз инструкция по натсройке одновременной работы wan1 и wan2?

YuriAM писал(а):
В качестве подготовки для Вашей работы с PBR, настройте, чтобы DFL отвечал на пинги по обоим WAN.

На головном DFL-е есть правило:
Код:
Name___________Action___Source interface__Source network__Destination interface__Destination network___Service
allow_ping_____Allow__________any___________all-nets________________any________________all-nets________all_icmp

Или нужно отдельно для каждого wan-а сделать правило?

YuriAM писал(а):
После того, как это заработает надо будет настраивать мониторинг маршрутов на клиентах.

Я так понимаю мониторинг я как раз уже настроил, верно?

YuriAM писал(а):
А может, ну его в баню, и сразу настроить IPsec?

Для этого нужно отключать впн-ы удаленных офисов, не очень хорошая идея, в свете того, что предыдущие три дня народ и так работал без них, и сейчас вроде бы все заработало, снова отключать не хотелось бы.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Пт окт 12, 2018 09:27 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
YuriAM писал(а):
А может, ну его в баню, и сразу настроить IPsec?


Так-как задача срочно-обморочного ВПН-а решена, хочу заняться настройкой IPsec, и тем самым отказаться от PPTP совсем.

Достаточно ли выполнить требования инструкции:http://www.dlink.ru/u/faq/85/575.html чтобы получить рабочее решение?
Еще вопрос, на головном DFL-е, Основной и Дублирующий IPsec-тоннели придется делать для каждого подключающегося удаленного DFL-а?
Т.е. для 4-х удаленных DFL-ов по 2 на каждого(резерв/основа), итого получаем 8 тоннелей, настроенных на головном DFL-е, верно понимаю?
Можно ли эти каналы объединить в группу интерфейсов, чтобы настраивать правила не для каждого из 8, а для одного?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Пт окт 12, 2018 16:53 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Vadim_PV писал(а):
Достаточно ли выполнить требования инструкции:http://www.dlink.ru/u/faq/85/575.html чтобы получить рабочее решение?
Достаточно. Только для стабильной работы в свойствах IPsec надо сделать MTU = 2000.

Vadim_PV писал(а):
Еще вопрос, на головном DFL-е, Основной и Дублирующий IPsec-тоннели придется делать для каждого подключающегося удаленного DFL-а?
Т.е. для 4-х удаленных DFL-ов по 2 на каждого(резерв/основа), итого получаем 8 тоннелей, настроенных на головном DFL-е, верно понимаю?
Вот тут вопрос интереснее. Буду говорить лишь о паре DFL. Для ваших 4-х дочерних, Взятых попарно с центральным офисом, будет аналогично.

В идеале, Если У Вас DFL A, DFL B имеют по 2 ван канала, которые могут падать как угодно, то для наиболее надежной связи надо уметь надежно устанавливать 2 x 2 = 4 канала IPsec. Здесь и сложность. Эту схему далеко не всем удается реализовать. Т.к. при переключениях возникают висящие каналы и дублирование SA. Но кто-то реализовал и выложил инструкцию на этом форуме. Поищите тщательнее и найдете. Если не получится, то уж поможем, наверное. Основная идея там была в правильном мониторинге и отключении как IPsec каналов, так и работающих WAN каналах. Когда найдете, то выложите ее, пожалуйста, сюда так, чтобы она была вложением к посту и хранилась на сервере D-Link, чтобы точно не пропала. Или, если так уже сделано автором ранее, то киньте ссылку.

Vadim_PV писал(а):
Можно ли эти каналы объединить в группу интерфейсов, чтобы настраивать правила не для каждого из 8, а для одного?
Да. IPsec правилами можете группировать и рулить как хотите.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Failover PPTP DFL-860E
СообщениеДобавлено: Пн окт 15, 2018 10:15 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
YuriAM писал(а):
Достаточно. Только для стабильной работы в свойствах IPsec надо сделать MTU = 2000.

Понял, спасибо.

YuriAM писал(а):
Вот тут вопрос интереснее. Буду говорить лишь о паре DFL. Для ваших 4-х дочерних, Взятых попарно с центральным офисом, будет аналогично.

В идеале, Если У Вас DFL A, DFL B имеют по 2 ван канала, которые могут падать как угодно, то для наиболее надежной связи надо уметь надежно устанавливать 2 x 2 = 4 канала IPsec. Здесь и сложность. Эту схему далеко не всем удается реализовать. Т.к. при переключениях возникают висящие каналы и дублирование SA.

У меня на головном DFL-е два провайдера, на удаленных по одному. Резерв на удаленные подключить практически нереально - очень дорого получается.

YuriAM писал(а):
Но кто-то реализовал и выложил инструкцию на этом форуме. Поищите тщательнее и найдете. Если не получится, то уж поможем, наверное. Основная идея там была в правильном мониторинге и отключении как IPsec каналов, так и работающих WAN каналах.Когда найдете, то выложите ее, пожалуйста, сюда так, чтобы она была вложением к посту и хранилась на сервере D-Link, чтобы точно не пропала. Или, если так уже сделано автором ранее, то киньте ссылку.

Спасибо, буду искать, если найду поделюсь.

YuriAM писал(а):
Да. IPsec правилами можете группировать и рулить как хотите.

Понял, спасибо.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB