faq обучение настройка
Текущее время: Вт авг 21, 2018 09:00

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 32 ]  На страницу Пред.  1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Сб май 12, 2018 18:59 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
6. Настроил Базу данных с одним пользователем
7. Настроил Правила аутентификации


Вложения:
Маршруты.jpg
Маршруты.jpg [ 213.46 KiB | Просмотров: 339 ]
Правила аутентификации.jpg
Правила аутентификации.jpg [ 113.87 KiB | Просмотров: 339 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб май 12, 2018 19:02 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
8. Настроил правила (но, по-моему они на данном этапе не нужны)
9. Прикрутил Внешний IP ARP-ом (но не помогло - отключил)

Доп.информация:
А. Логи остались без изменения с прошлого года (см. в начале темы)
Б. Сессии портов 500 и 4500 открываются и закрываются (провайдер получается ни при чём)
В. IPsec-туннели к DFL работают

ПОМОГИТЕ ПОЖАЛУЙСТА !


Вложения:
ARP.jpg
ARP.jpg [ 80.08 KiB | Просмотров: 339 ]
1 Правила.jpg
1 Правила.jpg [ 157.26 KiB | Просмотров: 339 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 15, 2018 11:32 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 282
Я бы заменил Local ID на IP и прописал тот IP, который виден в сети (Wan_static...)

А потом в руководстве по DFL есть раздел про отладку IPSEC VPN (раздел 9.4.5), там описана полезная утилита ikesnoop, рекомендую.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 13:45 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
vgo писал(а):
Я бы заменил Local ID на IP и прописал тот IP, который виден в сети (Wan_static...)

Спасибо за помощь !
Сделал как посоветовали: Ситуация не изменилась !

vgo писал(а):
А потом в руководстве по DFL есть раздел про отладку IPSEC VPN (раздел 9.4.5), там описана полезная утилита ikesnoop, рекомендую.

Отличный инструмент.
Причина, думаю, не в IPsec - т.к. вновь настроенный IPsec-туннель работает !

Проблема в том, что L2TP не поднимается после того, как IPsec установился.
Если сравнивать логи на роутере, у которого на WAN белый IP и тот, у которого на WAN локальный адрес провайдера - видно что на этапе IPsec они практически идентичны.

Может всё-таки в сторону L2TP копать ?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 16:08 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 282
Да Вам во все стороны копать уже надо. Хотя для L2TP отличия внешнего подключения как бы имеют меньше значения, чем для IPSEC. А может и не меньше.

1. В старых логах есть сообщение, что peer помер. С этим надо разобраться или отключить Dead peer detection. И закрытие ipsec туннеля. Как же оно пойдет в L2TP
2. Мне кажется, не надо проксить ARP никуда, кроме lan. Я так не делаю
3. Правила нужны. То, что сервер IPSEC "before rules', я понимаю так: пакеты извне попадают в сервер IPSEC без проверки. Но это не значит, что пакеты, выходящие из IPSEC сервера, не проверяются. Но ошибки настройки правил можно и нужно ловить по логам.
4. Гммм... может быть, как раз стоит отключить "сервер до правил" и смотреть по логам, какие пакеты задерживаются правилами. Пакеты могут оказаться совершенно не такими, как Вы думаете.

А в общем, я бился об аналогичную задачу и большого успеха не достиг (( но тому были еще дополнительные причины, а потом оказалось, что этот успех мне не так уж и нужен. Вообще, разрабы, разделив L2TP и IPSEC, заложили IMHO изрядную мину. ((

Кстати, я так и не понял, каким клиентом Вы подключаетесь к DFL. Да, а вот PPTP в этой ситуации настраивается проще. Если, конечно, провайдер не блокирует GRE.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 17:13 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
vgo писал(а):
Да Вам во все стороны копать уже надо. Хотя для L2TP отличия внешнего подключения как бы имеют меньше значения, чем для IPSEC. А может и не меньше.

1. В старых логах есть сообщение, что peer помер. С этим надо разобраться или отключить Dead peer detection. И закрытие ipsec туннеля. Как же оно пойдет в L2TP
2. Мне кажется, не надо проксить ARP никуда, кроме lan. Я так не делаю
3. Правила нужны. То, что сервер IPSEC "before rules', я понимаю так: пакеты извне попадают в сервер IPSEC без проверки. Но это не значит, что пакеты, выходящие из IPSEC сервера, не проверяются. Но ошибки настройки правил можно и нужно ловить по логам.
4. Гммм... может быть, как раз стоит отключить "сервер до правил" и смотреть по логам, какие пакеты задерживаются правилами. Пакеты могут оказаться совершенно не такими, как Вы думаете.

А в общем, я бился об аналогичную задачу и большого успеха не достиг (( но тому были еще дополнительные причины, а потом оказалось, что этот успех мне не так уж и нужен. Вообще, разрабы, разделив L2TP и IPSEC, заложили IMHO изрядную мину. ((

Кстати, я так и не понял, каким клиентом Вы подключаетесь к DFL. Да, а вот PPTP в этой ситуации настраивается проще. Если, конечно, провайдер не блокирует GRE.

1. Сейчас все нормально (сообщений, что peer помер НЕТ)
2. Сделал ARP lan с нулевым MAC - НЕ помогло
3. На работающем DFL отключил все настроенные правила - Подключился без проблем. Значит правила на подключение не влияют.
4. Стандартный VPN с Android


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 17:21 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 282
1. Значит, логи все-таки не такие, как год назад?
2. Не понял. Речь о Proxy ARP на вкладке Add route l2tp сервера.
3. Ну как скажете.
4. А другим не пробовали?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 17:30 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
vgo писал(а):
1. Значит, логи все-таки не такие, как год назад?
2. Не понял. Речь о Proxy ARP на вкладке Add route l2tp сервера.
3. Ну как скажете.
4. А другим не пробовали?


1. Прошлогодние логи делались на роутере с кучей настроек. В этом году настроил только L2TP/IPSec-сервер с нуля
2. По ARP у меня вот так. А надо по-другому ?


Вложения:
2.jpg
2.jpg [ 197.88 KiB | Просмотров: 299 ]
1.jpg
1.jpg [ 206.59 KiB | Просмотров: 299 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 17:44 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
1. Внимательно посмотрел. Действительно peer_is_dead появляется через 1,5 минуты. Предполагаю, что не дождавшись L2TP IPSec отключается.
4. Не пробовал, нет физических возможностей


Вложения:
3.jpg
3.jpg [ 166.08 KiB | Просмотров: 297 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 17:48 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 282
Юрчище писал(а):
1. Внимательно посмотрел. Действительно peer_is_dead появляется через 1,5 минуты. Предполагаю, что не дождавшись L2TP IPSec отключается.
4. Не пробовал, нет физических возможностей

1. Клиент отваливается? надо проверить, что хотя бы совпадает по времени.
4. Как это? нет компа под windows или linux c выходом в инет? Ни у Вас, ни у знакомых, ни у знакомых Ваших знакомых?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 16, 2018 18:15 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
vgo писал(а):
Юрчище писал(а):
1. Внимательно посмотрел. Действительно peer_is_dead появляется через 1,5 минуты. Предполагаю, что не дождавшись L2TP IPSec отключается.
4. Не пробовал, нет физических возможностей

1. Клиент отваливается? надо проверить, что хотя бы совпадает по времени.
4. Как это? нет компа под windows или linux c выходом в инет? Ни у Вас, ни у знакомых, ни у знакомых Ваших знакомых?

1. Клиент отваливается примерно через минуту. В логе peer_is_dead через 1,5 минуты
4. Идею понял, попробую найти способ реализовать


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 23, 2018 14:52 
Не в сети

Зарегистрирован: Чт июл 28, 2011 17:07
Сообщений: 69
Как обычно, дело спасения утопающих - дело рук самих утопающих.

Потратил кучу времени, но докопался до истины:
Во-первых, везде в v.2.40 в настройках IPsec, L2TP и Правил аутентификации надо указывать адрес непосредственно на WAN (а не выделенный провайдером IP).
Во-вторых, в v.2.40 в IPsec обязательно Local ID с выделенным провайдером ID (спасибо форумчанину vgo).
В-третьих, в версии 2.40 это всё-равно не поможет - пришлось обновиться до 11.10 (промежуточные версии не пробовал).
В-четвертых, в v.10.11 в IPsec в IKE (Phase-1)-IKE Peers Settings-Local Endpoint: надо указать адрес непосредственно на WAN.
В-пятых, в v.10.11 в IPsec в Advanced-Routing-Add route dynamically надо снять галочку (если не снять, то об этом система после сохранения выдаст предупреждение).

Надеюсь кому-то эта информация сэкономит кучу времени.


Последний раз редактировалось Юрчище Чт май 24, 2018 17:00, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 24, 2018 08:16 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 282
Ну и чудненько.
Кстати, по поводу "во-вторых" я как раз и писал.
За остальное - спасибо.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 24, 2018 08:22 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8286
Откуда: Москва
А кому сейчас нужна v.2.40?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 24, 2018 12:31 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 282
MTRX писал(а):
А кому сейчас нужна v.2.40?

Есть неплохой принцип: работает - не трогай.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 32 ]  На страницу Пред.  1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: СергейП, goro и гости: 37


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB