faq обучение настройка
Текущее время: Вт мар 19, 2024 05:21

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Чт сен 27, 2018 16:20 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
День добрый.
Есть 2 фаервола DFL 1660, на каждом есть инет от разных операторов.
Соеденены между собою через L3 свитч, маршрутизация настроена.
DFL A (внутр. адрес 192.168.120.1) , DFL B (внутр. адрес 192.168.130.1). На каждой DFL есть еще несколько внутренних подсетей.

Появилась необходимость на некоторых серверах из подсетей DFL B раздать интернет (SAT + NAT) оператора, который приходит на DFL A.
Пытаюсь выполнить это посредством тунелей + PBR, но столкнулся с некоторыми трудностями :
При создании на DFL A pptp сервера, не могу правильно настроить маршрутизацию (ошибка в логах only_routes_set_up_by_server_iface_allowed drop) если указать маршрут до сетей DFL B через pptp сервер.
Например на микротике это работает, а что тут нужно указывать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Чт сен 27, 2018 16:51 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Задачу описали не так плохо. И выглядит вполне решаемо.

И вдруг выскочил непонятный, никем не описанный, pptp. Надо описать, как полагается, со всех сторон. Чтоб никто носу не подточил.

IPsec тоже. В теме есть, в топике - нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Чт сен 27, 2018 16:58, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Чт сен 27, 2018 16:55 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
viewtopic.php?f=3&t=174887
читаем . вникаем , если не получилось без схемы сети и подписанными адресами не стучитесь :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Пт сен 28, 2018 08:58 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=174887
читаем . вникаем , если не получилось без схемы сети и подписанными адресами не стучитесь :-)



Спасибо тебе огромное. Очень статья помогла)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Пт сен 28, 2018 11:13 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
hitsup писал(а):
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=174887
читаем . вникаем , если не получилось без схемы сети и подписанными адресами не стучитесь :-)



Спасибо тебе огромное. Очень статья помогла)

кто бы сомневался :-) столько скушано на этом

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Вт окт 02, 2018 09:34 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Vladimir22 писал(а):
hitsup писал(а):
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=174887
читаем . вникаем , если не получилось без схемы сети и подписанными адресами не стучитесь :-)



Спасибо тебе огромное. Очень статья помогла)

кто бы сомневался :-) столько скушано на этом


"IP Addresses
Ставим галочку (птичку) Specify address manually:
И из выпадающего списка выбираем именно Lan_ip (данный объект у вас должен быть заведен заранее)
Данный параметр. определяет конечную точку в Core. (ну у по крайней мере мне так объяснили)"

А такой вопрос - можно ли на IPsec тунеле между DFL A и DFL B задать адрес не с каждой стороны LAN_IP, а , допустим чтобы был из одной подсети DFL B и между ними была связаность?
Пример, когда мы поднимаем pptp сервер, то клиент, который к нему подключается получает адрес из подсети pptp сервера (хотя, конечно как настроишь).

Пробовал в Specify address manually но не получилось, хотя мб не правильно маршрутизацию настроил... :roll:


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Вт окт 02, 2018 17:25 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
нет , тк адрес не определит CORE а только интерфейс .
полагаю, что передели в этот адрес с маршрутом на CORE возможно достичь некого результата. Так же предположу, что LAN_IP является неким LOOPBACK интерфейсом , но это только мои догадки .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Чт окт 11, 2018 12:15 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Vladimir22 писал(а):
нет , тк адрес не определит CORE а только интерфейс .
полагаю, что передели в этот адрес с маршрутом на CORE возможно достичь некого результата. Так же предположу, что LAN_IP является неким LOOPBACK интерфейсом , но это только мои догадки .


Понял, спасибо.
Возникла еще 1 проблемка с MTU))
К DFL A подключаются много железок DFL 260-e по IPsec (MTU в тунеле задано по умолчанию, 1420).
До подсетей DFL A из сетей DFL 260-e все ходит хорошо ( пакеты больше 1420 идут на ура), но до подсетей DFL B (к которой DFL A строит этот хитрый IPsec), пакеты c MTU выше 1392 режутся(
Между DFL A и DFL B в IPsec MTU задал 2000 (как в вашем мануале), пробовал делать 1420, не помогает( В чем может быть трабл?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Чт окт 11, 2018 22:22 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
А кто его знает? Может в mtu может в правилах, может ещё в вашем хитром ipsec.. Мой телепатический шлем потерял VPN с вашим роутером...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Пт окт 12, 2018 08:38 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Vladimir22 писал(а):
А кто его знает? Может в mtu может в правилах, может ещё в вашем хитром ipsec.. Мой телепатический шлем потерял VPN с вашим роутером...


Пардон, обрисую более детально :


Есть 2 DFL 1660, между ними через л3 свитч связность
DFL A :
LAN1 : 10.10.250.4/24
LAN2 : 192.168.203.1/24

DFL B :
LAN1 : 10.10.14.3/24
LAN2 : 10.10.4.1/24

По вашей статье выше настроил IPsec между ними (DFL A =>10.10.250.4 |===| 10.10.14.3<=DFL B). MTU 2000
Со стороны DFL A указал маршрут до сети 10.10.4.0/24 через IPsec до DFL B. На DFL B соответственно маршрут до сети 192.168.203.0/24 через IPsec до DFL B.
С обоих сторон добавлены ACL на прохождение всего трафика до всех подсетей через IPsec тунели.
Связность между подсетями появилась, пакеты побежали.

Теперь самое интересное : к DFL A из вне подключается DFL 260e по IPsec (настроена примерно как по статье http://www.dlink.co.il/r/faq/92/850.html см. DFL), со стороны DFL A такие же настройки IPsec до неё. MTU 1420
DFL 260e:
LAN : 10.100.100.1/24

На DFL B добавляем маршрут до сети DFL 260e (10.100.100.0/24) через IPsec до DFL A.
На DFL 260e в IPsec добавляем remote-network сеть DFL B (LAN2 : 10.10.4.0/24), создаем разрешающие правила.

Пакеты побежали, службы завелись. Но. Если из сети DFL 260e (10.100.100.0/24) делать пинг до любого узла в сети DFL B (LAN2 : 10.10.4.0/24) c размером пакета больше 1392, пакет недолетает.
Тоже самое, если делать с любого хоста в сети DFL B (LAN2 : 10.10.4.0/24) до сети DFL 260e (10.100.100.0/24). Судя по логам, пакеты улетают (правила пишут что соединение установлено)

Между сетью DFL 260e (10.100.100.0/24) и DFL A (LAN2 : 192.168.203.0/24) все хорошо идет.
Между сетью DFL A (LAN2 : 192.168.203.0/24) и DFL B (LAN2 : 10.10.4.0/24) тоже все хорошо.

Куда хоть можно капнуть с таким моментом?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL - 1660 маршрутизация в IPSec, PPTP
СообщениеДобавлено: Сб окт 13, 2018 09:14 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Без понятия...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 25


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB