1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 17, 2025 21:56

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
faddist88
СообщениеДобавлено: Пн ноя 12, 2012 16:58 
Не в сети

Зарегистрирован: Пн ноя 12, 2012 16:22
Сообщений: 5
Доброго времени суток.
Мне необходимо поднять L2TP сервер (с IPsec'ом) для подключения Windows клиентов.
Исходные данные:
1 D-link DFL-860E Firmware Version: 2.27.02.14-14550 Sep 29 2010
2 В роли клиента пока Windows 7 проф
Настройки 860-го делал по этой инструкции http://ftp.dlink.ru/pub/FireWall/How%20 ... 0ipsec.ppt с отклонениями в значениях IP. Так же в IKE Algorithms и IPsec Algorithms выбраны профили High, в которых установлены галки: Encryption Algorithms: DES, Integrity Algorithms: MD5 SHA1.
В винде создано подключение L2TP. В нем настроено: убрана галка включать включать домен входа в Windows, установлен ключ для IPsec, выбраны PAP CHAP и MS-CHAP-2. Так же в реестре изменено значение параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto на 1.
При попытке подключения винда показывает 788 ошибку, а d-link вот такие логи:

Скрытый текст: показать
2012-06-05
05:06:38 Warning ARP
300049 Default_Access_Rule lan
192.168.1.200
192.168.1.248
invalid_arp_sender_ip_address
drop
hwsender=5c-d9-98-49-e3-33 hwdest=ff-ff-ff-ff-ff-ff arp=request srcenet=5c-d9-98-49-e3-33 destenet=00-00-00-00-00-00
2012-06-05
05:06:38 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcf9c9438, AH=0xb2db286f, IPComp=0x5298dbd"
2012-06-05
05:06:38 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="192.168.1.200 ID No Id" remote_peer="192.168.1.248 ID No Id" initiator_spi="ESP=0xcf9c9438, AH=0xb2db286f, IPComp=0x5298dbdf"
2012-06-05
05:06:38 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-05
05:06:38 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=192.168.1.200 remote_ip=192.168.1.248 cookies=cf9c9438b2db286f5298dbdfa1d60c36 reason="Could not find acceptable proposal"
2012-06-05
05:06:38 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2012-06-05
05:06:38 Info IPSEC
1803002


failed_to_select_ike_sa
2012-06-05
05:06:38 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-05
05:06:38 Info CONN
600001 IPsecBeforeRules UDP wan1
core 192.168.1.248
192.168.1.200 500
500 conn_open
conn=open
2012-06-05
05:06:38 Warning ARP
300049 Default_Access_Rule lan
192.168.1.248
192.168.1.200
invalid_arp_sender_ip_address
drop
hwsender=f4-6d-04-6e-a7-32 hwdest=ff-ff-ff-ff-ff-ff arp=request srcenet=f4-6d-04-6e-a7-32 destenet=00-00-00-00-00-00
2012-06-05
05:06:27 Notice SYSTEM
3202001


startup_echo
delay=15 corever=2.27.02.14-14550 build="Sep 29 2010" uptime=37334 cfgfile="core.cfg" localcfgver=23 remotecfgver=0 previous_shutdown="2012-06-05 05:06:05: Activating configuration changes"


Заранее благодарен.
Вернуться наверх
 Профиль  
 
faddist88
СообщениеДобавлено: Вт ноя 13, 2012 09:16 
Не в сети

Зарегистрирован: Пн ноя 12, 2012 16:22
Сообщений: 5
Проблема решилась путем сброса dfl 860 к заводским настройкам и заново все настроил. При настройке заметил что в IKE Algorithms и в IPsec Algorithms стали видна куча протоколов (было Encryption Algorithms: NULL и DES, Integrity Algorithms: MD5 и SHA1)

Но почему они были недоступны? И почему винда не работает через DES?
Вот скрин


Вложения:
dfl.png
dfl.png [ 143.05 KiB | Просмотров: 8988 ]
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Вт ноя 13, 2012 13:42 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
В угоду Российсим законодательствам :-)
на форуме обсуждалось не раз

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
MTRX
СообщениеДобавлено: Вт ноя 13, 2012 17:15 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
viewtopic.php?f=8&t=154665

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
faddist88
СообщениеДобавлено: Ср ноя 14, 2012 07:16 
Не в сети

Зарегистрирован: Пн ноя 12, 2012 16:22
Сообщений: 5
Про законодательство и отключение алгоритмов кроме DES - понял.

А вот как заставить работать win 7 по DES?
Кстати даже win XP, которая из коробки должна работать с DES не подключается - пишет "Ошибка 792: L2TP подключения не удалась, поскольку истекло время согласования режима безопасности".

Логи с D-link'a:
Скрытый текст: показать
2012-06-06
23:26:28 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0x52a142d"
2012-06-06
23:26:28 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="192.168.1.200 ID No Id" remote_peer="192.168.1.22 ID No Id" initiator_spi="ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0x52a142de"
2012-06-06
23:26:28 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:28 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=192.168.1.200 remote_ip=192.168.1.22 cookies=cfa765f23c920b9952a142dea84a9042 reason="Could not find acceptable proposal"
2012-06-06
23:26:28 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2012-06-06
23:26:28 Info IPSEC
1803002


failed_to_select_ike_sa
2012-06-06
23:26:28 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:20 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0x3a9a46f"
2012-06-06
23:26:20 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="192.168.1.200 ID No Id" remote_peer="192.168.1.22 ID No Id" initiator_spi="ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0x3a9a46f0"
2012-06-06
23:26:20 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:20 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=192.168.1.200 remote_ip=192.168.1.22 cookies=cfa765f23c920b993a9a46f09a2efe5c reason="Could not find acceptable proposal"
2012-06-06
23:26:20 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2012-06-06
23:26:20 Info IPSEC
1803002


failed_to_select_ike_sa
2012-06-06
23:26:20 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:16 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0xcab3eb5"
2012-06-06
23:26:16 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="192.168.1.200 ID No Id" remote_peer="192.168.1.22 ID No Id" initiator_spi="ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0xcab3eb59"
2012-06-06
23:26:16 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:16 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=192.168.1.200 remote_ip=192.168.1.22 cookies=cfa765f23c920b99cab3eb5919a21707 reason="Could not find acceptable proposal"
2012-06-06
23:26:16 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2012-06-06
23:26:16 Info IPSEC
1803002


failed_to_select_ike_sa
2012-06-06
23:26:16 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:14 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0xdf2dcdd"
2012-06-06
23:26:14 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="192.168.1.200 ID No Id" remote_peer="192.168.1.22 ID No Id" initiator_spi="ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0xdf2dcddf"
2012-06-06
23:26:14 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:14 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=192.168.1.200 remote_ip=192.168.1.22 cookies=cfa765f23c920b99df2dcddf13d56b1d reason="Could not find acceptable proposal"
2012-06-06
23:26:14 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2012-06-06
23:26:14 Info IPSEC
1803002


failed_to_select_ike_sa
2012-06-06
23:26:14 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:13 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0xd9b3c8c"
2012-06-06
23:26:13 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="192.168.1.200 ID No Id" remote_peer="192.168.1.22 ID No Id" initiator_spi="ESP=0xcfa765f2, AH=0x3c920b99, IPComp=0xd9b3c8ce"
2012-06-06
23:26:13 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-06-06
23:26:13 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=192.168.1.200 remote_ip=192.168.1.22 cookies=cfa765f23c920b99d9b3c8ce81da815f reason="Could not find acceptable proposal"
2012-06-06
23:26:13 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2012-06-06
23:26:13 Info IPSEC
1803002


failed_to_select_ike_sa
2012-06-06
23:26:13 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
Вернуться наверх
 Профиль  
 
tinipop
СообщениеДобавлено: Чт ноя 15, 2012 23:50 
Не в сети

Зарегистрирован: Пт фев 03, 2012 22:08
Сообщений: 35
Прошу заметить, что:
Цитата:
"время, требуемое для криптоанализа 3DES, может быть в миллиард раз больше, чем время, нужное для вскрытия DES"

(цитата с wikipedia.org)
Потому давай скриншюты, наверняка ты упустил что - то. Во вторых, если бы ты! писал команды исполнения (CLI), проще понять... (в)виду технических особенностей!!%

Цитата:
"Cipher Suites Supported by NetDefendOS TLS
NetDefendOS TLS supports the following cipher suites:
1. TLS_RSA_WITH_3DES_EDE_CBC_SHA.
2. TLS_RSA_WITH_RC4_128_SHA.
3. TLS_RSA_WITH_RC4_128_MD5.
4. TLS_RSA_EXPORT_WITH_RC4_56_SHA (certificate key size up to 1024 bits).
5. TLS_RSA_EXPORT_WITH_RC4_40_MD5 (certificate key size up to 1024 bits).
6. TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (certificate key size up to 1024 bits).
7. TLS_RSA_WITH_NULL_MD5.
8. TLS_RSA_WITH_NULL_SHA.
"

(6.2.9. The H.323 ALG Chapter 6. Security Mechanisms
293)

А вот такой функционал просто убивает
Цитата:
Note: Outgoing calls do not need a specific rule
There is no need to specify a specific rule for outgoing calls. NetDefendOS monitors
the communication between "external" phones and the Gatekeeper to make sure that it
is possible for internal phones to call the external phones that are registered with the
gatekeeper."

Для тех, кто не понял, перевод из Гугл-трансайт:
Цитата:
"Существует нет необходимости указывать конкретные правила для исходящих вызовов. NetDefendOS мониторов
связь между «внешним» телефоны и Gatekeeper, чтобы убедиться, что он
Можно для внутренних телефонов для вызова внешних телефонов, которые зарегистрированы в
привратника."
Вернуться наверх
 Профиль  
 
tinipop
СообщениеДобавлено: Чт ноя 15, 2012 23:52 
Не в сети

Зарегистрирован: Пт фев 03, 2012 22:08
Сообщений: 35
Скоро у Длинка появится кнопка "Донатейд"
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср ноя 21, 2012 00:56 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Нормальный функционал H.323 ALG - если вы разрешаете VoIP трафик, DFL не лезет в него и не режет определенные звонки.

На тему DES, в Windows 7 жесткое ограничение, а в ХР решается выставлением опции понижения уровня шифрования в параметрах VPN соединения.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
faddist88
СообщениеДобавлено: Ср ноя 21, 2012 06:47 
Не в сети

Зарегистрирован: Пн ноя 12, 2012 16:22
Сообщений: 5
danilovav писал(а):
Нормальный функционал H.323 ALG - если вы разрешаете VoIP трафик, DFL не лезет в него и не режет определенные звонки.

На тему DES, в Windows 7 жесткое ограничение, а в ХР решается выставлением опции понижения уровня шифрования в параметрах VPN соединения.

Про 7ку знаю, но как писал в первом сообщении редактировал параметр в реестре, что бы она заработала, но не помогло.
Про ХР: где именно и как выставляется понижение уровня шифрования?
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср ноя 21, 2012 06:51 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Что-то вроде Security > Encryption = Optional encryption (connect even no encryption)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
faddist88
СообщениеДобавлено: Ср ноя 21, 2012 07:21 
Не в сети

Зарегистрирован: Пн ноя 12, 2012 16:22
Сообщений: 5
danilovav писал(а):
Что-то вроде Security > Encryption = Optional encryption (connect even no encryption)

Во первых - это значит подключиться без шифрации, а во вторых и так не работает.
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср ноя 21, 2012 21:19 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Обновите уже ваш DFL до нормальной прошивки с http://tsd.dlink.com.tw/
Скорее всего, в виндах запрещен DES, как это фиксится и правильны ли ваши предыдущие указания, я не знаю

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Violator43
СообщениеДобавлено: Ср сен 28, 2016 13:04 
Не в сети

Зарегистрирован: Ср сен 28, 2016 12:54
Сообщений: 1
DFL-800 прошивка 2.27.08.03-22673 Nov 5 2013
Настраивал по тому же мануалу, что в первом посте. Не работает ни из Win10 ни из iOS, в логах:

Код:
Sep 28 12:43:15 dlink [2016-09-28 12:43:15] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=internet_1 connsrcip=213.X.X.X connsrcport=500 conndestif=core conndestip=178..X.X.X conndestport=500
Sep 28 12:44:15 dlink [2016-09-28 12:44:15] FW: IPSEC: prio=3 id=01802022 rev=2 event=ike_sa_failed action=no_ike_sa statusmsg="Timeout" local_peer="178.x.x.x ID No Id" remote_peer="213..X.X.X ID No Id" initiator_spi="ESP=0x6bd6c6a6, AH=0x8de25bb4, IPComp=0x1f8fd350"
Sep 28 12:45:30 dlink [2016-09-28 12:45:30] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=IPsecBeforeRules conn=close connipproto=UDP connrecvif=internet_1 connsrcip=213..X.X.X connsrcport=500 conndestif=core conndestip=178.x.x.x conndestport=500 origsent=1744 termsent=0

Алгоритмы пробовал включать 2DES, AES, MD5, SHA1

могу приложить скрины, какие?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 467

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB