faq обучение настройка
Текущее время: Вс ноя 18, 2018 14:01

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
СообщениеДобавлено: Ср окт 10, 2018 13:24 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Доброго времени суток!

Есть 5 фаерволов. 4 DFL-860E, соединены между собой с помощью PPTP т.е. на одном DFL-е настроен PPTP-сервер, на остальных PPTP-клиенты. И 5й маршрутизор, подключается к DFL-у с PPTP-сервером, через IPsec-тоннель.
Но на данный момент на на DFL-е, на котором настроен PPTP-сервер изменился IP-адрес, из-за аварии основного провайдера перешли на резервного, соответственно VPN-ы между DFL-ами не работают.
Решение по Failover PPTP, я найти не смог.

Решено было полностью переходить на IPsec.
По инструкции: http://www.dlink.ru/u/faq/85/575.html настроил два DFL-а, в Status=>IPsec вижу, что тоннель создался.
Но ресурсы сети 1, все так же не доступны из сети 2, и наоборот.
Прошу помочь разобраться в проблеме.

Скриншот правил головного DFL-а :
Вложение:
правила.jpg
правила.jpg [ 55.83 KiB | Просмотров: 200 ]


Зеленым выделены правила работающего, если включен основной канал Интернет, IPcsec тоннеля до 5-го "фаервола".
Красным выделены правила нового тоннеля до DFL.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 10, 2018 14:19 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
запускайте пинг . и смотрите - уходит в туннель и выходит ли из туннеля

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 10, 2018 14:54 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Vladimir22 писал(а):
запускайте пинг . и смотрите - уходит в туннель и выходит ли из туннеля

Я очень извиняюсь, но я не уверен, что правильно понял Вашу фразу.

Верно ли понимаю, что мне каким-то образом нужно понять идут ли пинги в созданный IPsec-тоннель? Если так, то я не представляю как это можно сделать.
Пробовал пиговать хосты сети 1, из сети 2, и наоборот - хосты не пингуются, превышен интервал ожидания.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 10, 2018 15:40 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
да и для начала поменяйте действия в правилах . у вас в одном All_service в другом All_tcpudp
с хоста в сети склада запускаете
cmd <Host_ip_office > -t и смотрите на DFL склада, в раздел соединения (при необходимости фильтруете) - смотрите куда лезет ...
так же смотрите на удаленном - вылезает ?!

ну и проверяем шлюзы прокси и прочеее :-)

Это уже надо отлить в золоте !!!!!!!!! ПАКЕТУ НАДО ЗНАТЬ НЕ ТОЛЬКО КАК ДОСТИЧЬ ЦЕЛИ , НО И КАК ВЕРНУТСЯ !!!!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 10, 2018 16:43 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Vladimir22 писал(а):
да и для начала поменяйте действия в правилах . у вас в одном All_service в другом All_tcpudp

Исправил, теперь везде All_services

Vladimir22 писал(а):
с хоста в сети склада запускаете
cmd <Host_ip_office > -t и смотрите на DFL склада, в раздел соединения (при необходимости фильтруете) - смотрите куда лезет ...

Запустил пинг, на DFL-е склада, в Connections следующая картина
Код:
State___Proto________Source________________Destination_________Timeout   
PING____ICMP_____lan:192.168.3.102:1____pptp_vpn:192.168.5.201:1_____7


Показатель Timeout меняется 8-7-6-5-4-3
Получается, что пинг идет на PPTP-лиент вместо IPsec?

Запустил пинг, на головном DFL-е , в Connections следующая картина
Код:
State___Proto________Source______________Destination_________Timeout   
PING____ICMP_____lan:192.168.5.183:1____wan2:192.168.3.251:1_____7

Тут получается пинг идет опять мимо IPsec?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 10, 2018 17:56 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
диагностика верная - осталось разобраться где косяки :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 11, 2018 10:29 
Не в сети

Зарегистрирован: Пт мар 02, 2018 14:57
Сообщений: 57
Vladimir22 писал(а):
диагностика верная - осталось разобраться где косяки :-)

Может быть нужно явно прописать маршруты для фаервола удаленного офиса?

Т.е. создаем маршрут для pptp-клиента вида:
Код:
Route____PPTP-client1____office_set

Делаем его мониторинг, и мониторим IP-адрес хоста сети офиса. Ставим метрику 60.

Делаю второй маршрут вида:
Код:
Route____Sklad(IPSec)____office_set

Делаю метрику 70

Если все правильно, то при отсутствии пинга с хоста сети офиса, фаервол должен переключиться с маршрута PPTP на маршрут IPSec, и трафик пойдет в тоннель IPSec.
Как-то слишком просто получается, где-то я ошибся :?

Только вопрос, на фаерволе головного офиса, как развернуть трафик из локальной сети идущий вместо IPSek на wan2 ?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 11, 2018 11:17 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
смотреть таблицу маршрутизации , там видать косяк :-)
рисуйте схему . и разбирайтесь :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB