1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт апр 18, 2024 06:34

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 18 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Arata
 Заголовок сообщения: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Пн янв 23, 2017 17:16 
Не в сети

Зарегистрирован: Пн сен 28, 2015 13:23
Сообщений: 11
Задача: настроить IPSec туннель между роутером в офисе DFL-870 и виртуальной машиной (Hyper-V 2012 R2) в облаке провайдера с белым IP на Windows Server 2012 R2.
Проблема: не поднимается туннель.

Настраивал я туннель по этим статьям на Хабре:
https://habrahabr.ru/sandbox/67736/ - настройка туннеля между DFL-860e и Windows Server 2012
https://habrahabr.ru/post/214789/ - настройка туннеля между DFL-210 и Windows Azure

Настройки под спойлером (белые IP изменены):
Скрытый текст: показать
Адресация:
DFL:
IP - 1.1.1.1
Сеть - 172.16.0.0/16
Виртуалка:
IP - 3.3.3.3
Сеть - 192.168.10.0/24

IPSec Туннель:

DFL:
Encapsulation Mode: Tunnel
Local Network: 172.16.0.0/16
Remote Network: 192.168.10.0/24
Local Endpoint: (none)
Source Interface: any
Remote Endpoint: 3.3.3.3
Outgoing Routing Table: main
IKE Algorithm:
Encryption Algorithms: 3DES, AES
Integrity Algorithms: SHA1
IKE Lifetime: 28800 seconds
IPsec Algorithm:
Encryption Algorithms: 3DES, AES
Integrity Algorithms: SHA1
IPSec Lifetime: 3600 seconds, 0 kilobytes
IKE Settings:
IKE Version: IKEv1
Main Mode
Auto Establish: yes
IKE DH group: 02 (1024-bit)
Security Association: Per Net
Use Dead Peer Detection: yes
NAT Traversal: On if supported and NATed
Authentication: Pre-Shared Key
Virtual Routing: Make interface a member of all routing tables
Advanced:
Add route statically: yes
Route Metric: 90
Plaintext MTU: 1420
IP Addresses: Automatically pick the address of a local interface that corresponds to the local net

IP Rules:
IPsec_cloud:
Action: Allow
Source: Interface - cloud_ipsec_group (включает в себя IPSec туннель и LAN интерфейс DFL), Network: all-nets
Destination: полностью аналогично Source

Виртуальная машина Windows Server 2012 R2:
RRAS: Custom configuration, LAN Routing

Брандмауэр Windows в режиме повышенной безопасности:
Создаю правило безопасности подключения "IPSec tunnel to Moscow Office"
Тип правила: Туннель
Настраиваемая конфигурация
Требовать провеку подлинности для входящих и исходящих подключений
Сеть конечной точки 1: 192.168.10.0/24
Локальная конечная точка туннеля (точка 1): 3.3.3.3
Сеть удалённой точки 2: 172.16.0.0/16
Удалённая конечная точка туннеля (точка 2): 1.1.1.1
Проверка подлинности: Общий ключ
Профили сети: отмечены все (Доменный, Частный, Публичный)

Свойства Брандмауэра (параметры IPSec):
Обмен ключами:
SHA-1, 3DES, Diffie-Hellman Group 2 (default)
SHA-1, AES-CBC 128
Время жизни ключей: 480 минут
Защита данных:
Алгоритмы целостности данных:
ESP, SHA-1, 60/100 000
AH, SHA-1, 60/100 000
Алгоритмы целостности данных и шифрования:
ESP, SHA-1, 3DES, 60/100 000
ESP, SHA-1, AES-CBC 128, 60/100 000
Методы проверки подлинности:
Общий ключ


В итоге на DFL смотрю Status, IPSec, IPSec SAs: пусто
На брандмауэре винды в разделе "Наблюдение\Сопоставление безопасности" пусто как в основном, так и в быстром режиме.

На всякий случай даю ссылки на архивы скриншотов настроек как DFL, так и винды. Возможно, я какую-то галоччку упустил и кто-нибудь это заметит.
DFL: https://cloud.mail.ru/public/M3bu/aBdr2oXEa
Windows 2012 R2: https://cloud.mail.ru/public/GMf3/ssigdcqEm
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Пн янв 23, 2017 19:17 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Из указанного вами мануала:
Цитата:
На последок разрешим весь трафик внутри туннеля, для этого надо создать два правила.
Первое разрешает трафик из ЦОД в офис
Второе – наоборот.
Вы это сделали?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
Arata
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 24, 2017 10:16 
Не в сети

Зарегистрирован: Пн сен 28, 2015 13:23
Сообщений: 11
Я сделал это правило (на скриншотах названия могут отличаться, но суть та же):
IPsec_cloud:
Action: Allow
Source:
Interface: cloud_ipsec_group (группа интерфейсов, включает в себя IPSec и LAN интерфейсы DFL)
Network: all-nets
Destination:
Interface: cloud_ipsec_group (группа интерфейсов, включает в себя IPSec и LAN интерфейсы DFL)
Network: all-nets

Т.е. по сути одним правилом разрешил трафик в обе стороны. Мне по запросу сотрудник D-Link присылал инструкцию по настройке IPSec туннеля между DFL-860 и Windows 2008 R2, там было указано именно такое правило. К сожалению с Windows 2012 R2 мне помочь не смогли. Что касается двух правил из инструкции на Хабре, то я и их пробовал, результат абсолютно тот же.
Вернуться наверх
 Профиль  
 
Vladimir22
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 24, 2017 10:48 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
запустите пинг с офиса , и смотрите что будет
логи гляньте . что там в логах будет

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Arata
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 24, 2017 15:01 
Не в сети

Зарегистрирован: Пн сен 28, 2015 13:23
Сообщений: 11
Ping говорит: "Превышен интервал ожидания для запроса".
Что и где смотреть в логах винды, мне непонятно. Журнал "Microsoft Windows Windows Firewall With Advanced Security" сообщает только об изменениях в настройках брандмауэра, больше там ничего нет. В журналах "Приложение" и "Система" никакой полезной информации, связанной с работой туннеля.
Есть интерсные записи в журнале DFL, не знаю, почему я раньше их не заметил: ipsec_sa_failed, ipsec_sa_disabled, ike_sa_failed, no_ike_sa.
Скриншот логов приложил.
Меня смущает порт 500. Проверяю его по телнету, он не отвечат ни на DFL, ни на винде. Должен ли этот порт быть доступен по телнету?


Вложения:
DFL_log01.jpg
DFL_log01.jpg [ 50.25 KiB | Просмотров: 7808 ]
Вернуться наверх
 Профиль  
 
Vladimir22
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 24, 2017 15:17 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
ключи совпадают ?
время синхронизировано ?

Цитата:
2.20.93. ike_sa_failed (ID: 01802022)
Default Severity WARNING
Log Message Ike SA negotiation failed: <statusmsg>
Explanation Negotiation of IKE SA failed.
Gateway Action no_ike_sa
Recommended Action None.
Revision 1
Parameters statusmsg


http://ftp.dlink.ru/pub/FireWall/DFL-21 ... _guide.pdf

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Arata
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 24, 2017 18:01 
Не в сети

Зарегистрирован: Пн сен 28, 2015 13:23
Сообщений: 11
Ключи совпадают, уже не раз проверял. Время синхронизировано.
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 24, 2017 19:17 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
В настройках DFL выберете IKEv.2
Именно он по умолчанию используется в WinSrv 2012R2

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
avelor
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Ср янв 25, 2017 09:37 
Не в сети

Зарегистрирован: Пн мар 31, 2008 12:18
Сообщений: 29
недавно сам ковырялся, и человеку помогал на другом ресурсе.
идея в том, что просто создав ipsec в брендмауэре не помогает.
во-первых нужно настроить нужные алгоритмы шифрования в свойствах брендмаура на винде.
во-вторых нужно настроить само правило ipsec консольной командой
Код:
netsh advfirewall consec set rule name="ipsec" new qmsecmethods=esp:md5-des+60min+100000Kb qmpfs=dhgroup2

ну только алгоритмы, время и байты жизни, dhgroup поставить свои, такие же как на dfl.

после этого всё заводится и все работает.
для отладки удобно использовать консоль на dfl и команду ikesnoop (будет заменена). скорее всего вы там увидите no proposal chosen.
Вернуться наверх
 Профиль  
 
Shkiper
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Чт янв 26, 2017 04:57 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
даешь step-by-step!
Вернуться наверх
 Профиль  
 
avelor
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Чт янв 26, 2017 13:05 
Не в сети

Зарегистрирован: Пн мар 31, 2008 12:18
Сообщений: 29
вот тут есть практически step-by-step, только для жанипера https://www.corelan.be/index.php/2009/0 ... -screenos/ :) только если это хост2нет не нужно ставить RAS:)
Вернуться наверх
 Профиль  
 
admin_ts
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Сб янв 28, 2017 08:19 
Не в сети

Зарегистрирован: Пт апр 04, 2014 10:52
Сообщений: 138
Arata писал(а):
На всякий случай даю ссылки на архивы скриншотов настроек как DFL, так и винды. Возможно, я какую-то галоччку упустил и кто-нибудь это заметит.
DFL: https://cloud.mail.ru/public/M3bu/aBdr2oXEa
Windows 2012 R2: https://cloud.mail.ru/public/GMf3/ssigdcqEm

во вкладке IKE Settings нужно выбрать SA "per host"
Вернуться наверх
 Профиль  
 
Arata
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Пн янв 30, 2017 17:10 
Не в сети

Зарегистрирован: Пн сен 28, 2015 13:23
Сообщений: 11
admin_ts писал(а):
во вкладке IKE Settings нужно выбрать SA "per host"

Попробовал. DFL не хочет сохранять такие настройки, ругается: Warning W781/IPSEC: Can't auto establish tunnel "ipsec_tunnel" since it's configured to setup IPsec SAs per host/port. The setting will be ignored.

Я так и не понял, что именно ему не нравится. Сейчас попробую проделать варианты, что советовались выше.
Вернуться наверх
 Профиль  
 
admin_ts
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Вт янв 31, 2017 08:49 
Не в сети

Зарегистрирован: Пт апр 04, 2014 10:52
Сообщений: 138
Arata писал(а):
admin_ts писал(а):
во вкладке IKE Settings нужно выбрать SA "per host"

Попробовал. DFL не хочет сохранять такие настройки, ругается: Warning W781/IPSEC: Can't auto establish tunnel "ipsec_tunnel" since it's configured to setup IPsec SAs per host/port. The setting will be ignored.

Я так и не понял, что именно ему не нравится. Сейчас попробую проделать варианты, что советовались выше.

возможно ему не нравится то что у вас в настройках тоннеля в качестве конечных точек указаны сети, а по факту конечная точка - 1 узел. т.е. надо попробовать сделать remote network и remote endpoint одинаковыми - это айпишники винды. у меня так работает.
P.S. проверьте локальный IP винды такой же как IP который наружу отсвечивает.

P.P.S.

сейчас ещё раз глянул ваши настройки а именно:

Цитата:
Виртуалка:
IP - 3.3.3.3
Сеть - 192.168.10.0/24

какие то они противоречивые.
Вернуться наверх
 Профиль  
 
Arata
 Заголовок сообщения: Re: DFL-870: IPsec туннель с Windows Server 2012 R2
СообщениеДобавлено: Пн фев 06, 2017 17:24 
Не в сети

Зарегистрирован: Пн сен 28, 2015 13:23
Сообщений: 11
admin_ts писал(а):
сейчас ещё раз глянул ваши настройки а именно:

Цитата:
Виртуалка:
IP - 3.3.3.3
Сеть - 192.168.10.0/24

какие то они противоречивые.

Ну так на виртуалке два интерфейса: 3.3.3.3 - это WAN, 192.168.10.0 - локальная подсеть. Локальный адрес виртуалки: 192.168.10.10.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 18 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 50

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB