Добрый день!

У кого-нибудь есть опыт настройки прозрачного туннеля с помощью L2TPv3, с новой прошивкой 2.60?

А то долгожданная возможность наконец появилась, но очень мало информации как это все «правильно настроить». В соседней теме про прошивку 2.60, уже проскальзывала неудачная попытка настройки, но раз на борту присутствует данная возможно, то должно работать. В официальном мануале есть достаточно понятные рекомендации: как настроить L2TPv3 Server/L2TPv3 Client – прямой без ipsec, c прокидыванием VLAN и с ipsec.

Что я на данный момент имею:
В тестовых целях, пока отказался от шифрования с помощью ipsec.

DFL-860E/FW 2.60.02.02-24262 - Офис-A
lan_ip1: 192.168.10.1
lannet: 192.168.10.0/24
wan1_ip: 192.168.110.100
wan1net: 192.168.110.0/24
wan1_gw: 192.168.110.1

1. Настраиваю серверную часть:
Network > Interfaces and VPN > L2TPv3 Servers > Add > L2TPv3 Server
Name: L2TPv3Server
Inner IP Address: lannet_ip
Local Network: lannet
Protocol: UDP
Outer Interface Filter: wan1
Server IP: wan1_ip

2. Включаю прозрачный режим для lan интерфейса:
Network > Interfaces and VPN > Ethernet >lan
Активирую «Enable transparent mode»

DFL-260E/FW 2.60.02.02-24262 - Офис-B
lan_ip1: 192.168.10.2
lannet: 192.168.10.0/24
wan_ip: 192.168.110.200
wannet: 192.168.110.0/24
wan_gw: 192.168.110.1
remote_gw-a: 192.168.110.100

1. Настраиваю клиента:
Network > Interfaces and VPN > L2TPv3 Client > Add > L2TPv3 Client
Name: L2TPv3Client
Inner IP Address: lannet_ip
Local Network: lannet
Psudowire Type: Ethernet
Protocol: UDP
Remote Endpoint: remote_gw-a

2. Включаю прозрачный режим для lan интерфейса:
Network > Interfaces and VPN > Ethernet >lan
Активирую «Enable transparent mode»

Туннель поднимается, но я так понимаю, что правила маршрутизации не нужны, т.к. настроен прозрачный режим? Но тишина.

Теперь настраиваю правила для прохождения трафика:
Policies > Main IP Rules
Создаю папку: lan_a_to_lan_b

Cоздаю два правила:
Name: lan_a_to_lan_b
Action: Allow
Service: all_services
Source: lan / lannet
Destination: L2TPv3Server / lannet

Второе правило, только в обратную сторону.
На клиентской стороне аналогично.

После этого прозрачный режим заработал. НО не так все гладко!

Первая проблема которая сплыла, выглядит так:
есть две клиентских машины, по одной на каждой стороне

pc_a = 192.168.10.10 – Офис-A
pc_b = 192.168.10.20 – Офис-B

Если машина «pc_a» первая начинает пинговать, машину «pc_b», то пинг идет.
После этого машина «pc_b» пытается пропинговать машину «pc_a», то заданный узел недоступен.
Лечится только перезагрузкой всех машин. После перезагрузки, если первым начинает пинговать машина «pc_b» машину «pc_b», то все нормально, но вылезает аналогичная проблема на «а» стороне. Выходит так «кто первый, тот и успел».
Широковещательный трафик – это вообще отдельная тема…

Подскажите, пожалуйста, как правильно настроить?

Уважаемая техподдержка!
Есть ли какие-нибудь рекомендации, как настраивать прозрачный туннель?
В официальном мануале есть только информация как настраивать серверную и клиентскую часть по отдельности, а про настройку правил и мультикаст вообще тишина.

Настраивать на прошивке 2.60 еще не пробовал.
Посмотрите тут: Clavister cOS Core 10.20.02 Administration Guide стр.629

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В мануале от клавистера, есть только упоминания про настройку серверной части, а про клиентскую пока нет.
Есть аналогичный мануал от D-Link, для прошивки 2.60.02 ftp://ftp.dlinkla.com/pub/drivers/DFL-8 ... Manual.pdf
Так официальном мануале от D-Link, есть информация как настраивать серверную (стр. 554) и клиентскую часть (стр. 561) по отдельности. Но нет ничего про настройку правил и мультикаст. Этим мануалом я и руководствовался при настройке прозрачного туннеля. В принципе, туннель у меня заработал, но как то криво пропускает пакеты. Элементарно две машины по разным сторонам друг друга пингуют, но только по очереди, а дальше даже не могу зайти в соседнею шару по IP.
Из правил создавал только Allow/AllService в обе стороны. На счет широковещательного, думаю аналогично должно быть как проброска через ipsec.
Но скорее всего есть еще какая то особенность настройки.

"В мануале от клавистера, есть только упоминания про настройку серверной части, а про клиентскую пока нет."

Все правильно в этой версии прошивки у Клавистера нет клиентской части вообще. Она попросту еще не дописана. А в прошивке от нами любимого D-Link она есть, дописана ручками программистов D-Link. Это конечно замечательно все, но!
Как только эта прошивка появилась я пытался сделать канал второго уровня, мне необходимо было пробросить внешнюю сеть провайдера в другое место, и все получилось, точнее почти все. Была проблема в удаленную сеть нельзя было попасть из Интернета, а все остальное работало.

По мануалу действительно очень мало информации, соединил мануал по настройке L2TPv3 и прозрачного режима.

У Вас получилось что нибудь хорошее в этом направлении?

Идею оседлать L2 поверх L3, на базе оборудования D-Link - пока забросил. Новой информации «как этими нововведениями правильно воспользоваться» до сих пор нет. Лишнего комплекта оборудования для тестирования пока не имею, но потребность в прозрачном тоннеле осталась. Через месяц-два, из-за безысходности, да и чтобы наверняка, буду закупать оборудование другого производителя у которого из коробки есть поддержка EoIP.

Мы не предоставляем поддержку международных прошивок из-за ограничений в законодательстве Р.Ф

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Шепните, про кого речь? Мало ли, пригодится...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Очень жаль. Не в обиду будет сказано в сторону D-Link, но выходит так, что из-за законодательства РФ, можно вообще забыть про дальнейшее развитие новых версий прошивок для линейки DFL. На официальном сайте самая свежая версия прошивки для DFL-860E есть только DFL-860E-2.27.08.04-Russian-upgrade.img, не говоря уже про версии 2.40, и тем-более 2.60. Вообщем все печально… так можно вообще фаерволы запретить.

Вот тут всё есть: http://tsd.dlink.com.tw/

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Горячие латышские парни на букву "М".
А с L2TP замечательно работает Cisco :].

Специально для сомневающихся:

На DFL это легко реализуется c использованием transparent mode

Условия, у обоих DFL lannet 192.168.20.1/24
DFL1-860E server wan1 ip 192.168.15.53
DFL2-260E client wan ip 192.168.15.54

Сервер (DFL-1)

set Interface Ethernet lan AutoSwitchRoute=yes
add Interface L2TPv3Server my_test_server IP=InterfaceAddresses/lan_ip Interface=wan1 ServerIP=InterfaceAddresses/wan1_ip LocalNetwork=InterfaceAddresses/lannet
cc RoutingTable main
add SwitchRoute Interface=my_test_server Network=InterfaceAddresses/lannet Name=test_l2 Metric=100
cc
add IPRule Action=Allow SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=my_test_server DestinationNetwork=InterfaceAddresses/lannet Service=all_services
add IPRule Action=Allow SourceInterface=my_test_server SourceNetwork =InterfaceAddresses/lannet DestinationInterface=lan DestinationNetwork=Interface Addresses/lannet Service=all_services

Клиент

set Address IP4Address InterfaceAddresses/lan_ip Address=192.168.20.2 (меняем обязательно, чтоб lan_ip у разных DFL был разный)
add Interface L2TPv3Client my_test_cl IP=InterfaceAddresses/lan_ip LocalNetwork=InterfaceAddresses/lannet RemoteEndpoint=192.168.15.53
cc RoutingTable main
add SwitchRoute Interface=my_test_cl Network=InterfaceAddresses/lannet Metric=100
сс
add IPRule Action=Allow SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=my_test_cl DestinationNetwork=InterfaceAddresses/lannet Service=all_services
add IPRule Action=Allow SourceInterface=my_test_cl SourceNetwork=InterfaceAddresses/lannet DestinationInterface=lan DestinationNetwork=InterfaceAddresses/lannet Service=all_services

Как видите без IPsec шифрования все очень просто и быстро настраивается.

Проверено и работает на прошивке 10.21.02.01-25332

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Тогда задам вопрос на Форуме:


Наверное я что-то пропустил в топике...
Я правильно понимаю, Вы прошивку Клавистера 10.21.02.01-25332 от 2014-10-21 накатили на DFL'ку?
Подскажите, как это сделать?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Посмотрите личку.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за информацию.
А используемые подписки AV и IPS будут совместимы и актуальны?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...