1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт авг 21, 2025 10:01

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Alexander_V_G
 Заголовок сообщения: Маршрутизация между тунелями
СообщениеДобавлено: Пн июн 20, 2005 12:29 
Не в сети

Зарегистрирован: Пн фев 21, 2005 09:33
Сообщений: 17
Откуда: Moscow
DFL-700 осуществляет маршрутизацию между тунелями.
Но как?
У меня организовано два тунеля между DFL-700 и двумя DI-804
DFL-700 - подсеть 10.10.10.0/8
1-ый DI-804 - подсеть 192.168.1.0/24
2-ой DI-804 - подсеть 192.168.2.0/24
Но, как же 1-ый 804 узнает о подсети сети второго 804?
Из подсети 192.168.1.0 пакты для 192.168.2.0 не уходят на DFL-700.
Тогда зачем маршрутизация между тунелями в 700? В каких случаях она работает?
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 20, 2005 14:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Если вы организуете туннель, маской покрывающий обе сети филиалов, то маршрутизация будет осуществляться. В вашем случае пакеты для другого офиса просто не попадают в туннель.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
Alexander_V_G
 Заголовок сообщения: А пример можно?
СообщениеДобавлено: Пн июн 20, 2005 14:39 
Не в сети

Зарегистрирован: Пн фев 21, 2005 09:33
Сообщений: 17
Откуда: Moscow
А пример можно?
Привидите пример настроек для всех трех устройств, пожалуйста.
Вернуться наверх
 Профиль  
 
Presv@
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 24, 2005 15:49 
Не в сети

Зарегистрирован: Чт сен 16, 2004 16:02
Сообщений: 4
Откуда: Самара
столкнулся с той же проблемой, только филиалов больше раз в 5.
что значит "туннель, маской покрывающий обе сети филиалов"?

_________________
__________________________________
С уважением, Вячеслав
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 24, 2005 16:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Поясню на примере. Дано:
1. центральный офис, сетка 192.168.0.0/24
2. филиал 1, сетка 192.168.10.0/24
3. филиал 2, сетка 192.168.11.0/24

Настраиваем туннели из филиала 1:
local net: 192.168.10.0
local netmask: 255.255.255.0
remote net: 192.168.0.0
remote netmask: 255.255.0.0 (! закрывает все сети 192.168.x.y)

Второй филиал:
local net: 192.168.11.0
local netmask: 255.255.255.0
remote net: 192.168.0.0
remote netmask: 255.255.0.0 (! закрывает все сети 192.168.x.y)

Центральный офис:
Local network: 192.168.0.0
Local netmask: 255.255.0.0 (! закрывает все сети 192.168.x.y)
remote network и remote netmask для первого филиала: 192.168.10.0 и 255.255.255.0, для второго -- 192.168.11.0 и 255.255.255.0.

Таким образом, все пакеты из филиалов в сети, начинающиеся с 192.168 (кроме сети на интерфейсе LAN) будут отправлены в туннель. И промаршрутизированы устройством в центральном офисе.
[/b]

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
spksergey
 Заголовок сообщения: RE
СообщениеДобавлено: Пн июн 27, 2005 10:23 
Не в сети

Зарегистрирован: Пт мар 04, 2005 08:38
Сообщений: 12
Откуда: e-burg
Да все это конечно имеет место быть,
но как быть если сеть в центральном офисе сделана на "белых" айпи
а в филиалах на "серых"
правильнее сделать так,
сеть филиала <di804>internet<di804>-<SW3L>нужная сеть
но вот досада 804 не умеет пробрасывать дальше своей LAN :(
у меня задача еще сложнее - в филиале стоит Linux с FreeSWan
который умеет пробрасывать сам, но вот Di804 уже этого не умеет.
сам -то туннель поднимается, но вот картина
A.A.A.A <- <Ipsec>B.B.B.B ->C.C.C.C
связи A и С не работает :((
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 27, 2005 12:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Правильно будет организовать второй туннель в центральный офис для втрого-третьего-энного филиала. Идея в том, чтоб маршрутизатор нужный трафик в туннель заправил.
А ваша картина действительно работать не будет -- DI-804HV совсем не устройство для организации такого рода подключений, все таки простой SOHO-роутер...

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
spksergey
 Заголовок сообщения: re2
СообщениеДобавлено: Пн июн 27, 2005 14:06 
Не в сети

Зарегистрирован: Пт мар 04, 2005 08:38
Сообщений: 12
Откуда: e-burg
а такая система будет работать?
сеть2 <di804><-dmz-(сеть1)<di804>--inet--<di804>сеть3

строится сначала туннель сеть3-сеть1
а в туннеле уже сеть1-сеть2
?
Вернуться наверх
 Профиль  
 
kaN5300
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 14, 2006 10:04 
Не в сети

Зарегистрирован: Вт мар 15, 2005 09:25
Сообщений: 91
Откуда: Serpuhov_MO
http://dlink.ru/phorum/viewtopic.php?t= ... t=freeswan

_________________
Molokanov kaN5300 Ilya
--
Вернуться наверх
 Профиль  
 
kaN5300
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 15, 2006 09:53 
Не в сети

Зарегистрирован: Вт мар 15, 2005 09:25
Сообщений: 91
Откуда: Serpuhov_MO
Опишу свою проблему подробно. Раньше я пробовал объединять подсети с помошью двух DI-804HV по Вашему HOWTO. Всё получилось и работало нормально. На этот раз стоит задача объединения двух подсетей использую с одной стороны DI-804HV, а с другой Linux-FreeSwan. За основу был взят вот этот HOWTO: [url="http://www.dlink.ru/technical/faq_vpn_5.php"]Настройка IPSec тоннеля между маршрутизаторами DI-804HV и FreeSwan (Linux)[/url]. Была взята такая конфигурация (собиралось на стенде, а не в реальных условиях):

Код:
172.16.1.0/24--(eth1:172.16.1.254 LINUX-FreeSwan eth0:192.168.13.136)==(eth1:192.168.13.240 ROUTER eth0:192.168.17.240)==(WAN:192.168.17.201 DI-804HV LAN:172.16.2.1)--172.16.2.0/24


syslog:

Код:
Mar 15 09:42:54 children ipsec_setup: Starting FreeS/WAN IPsec 2.06...
Mar 15 09:42:54 children ipsec_setup: KLIPS debug `none'
Mar 15 09:42:54 children kernel:
Mar 15 09:42:55 children ipsec_setup: KLIPS ipsec0 on eth1 172.16.1.254/255.255.255.0 broadcast 172.16.1.255
Mar 15 09:42:55 children ipsec_setup: ...FreeS/WAN IPsec started
Mar 15 09:42:55 children ipsec__plutorun: ipsec_auto: fatal error in "packetdefault": %defaultroute requested but not known
Mar 15 09:42:55 children ipsec__plutorun: ipsec_auto: fatal error in "block": %defaultroute requested but not known
Mar 15 09:42:55 children ipsec__plutorun: ipsec_auto: fatal error in "clear-or-private": %defaultroute requested but not known
Mar 15 09:42:55 children ipsec__plutorun: ipsec_auto: fatal error in "clear": %defaultroute requested but not known
Mar 15 09:42:55 children ipsec__plutorun: ipsec_auto: fatal error in "private-or-clear": %defaultroute requested but not known
Mar 15 09:42:56 children ipsec__plutorun: ipsec_auto: fatal error in "private": %defaultroute requested but not known
Mar 15 09:42:56 children ipsec__plutorun: 021 no connection named "packetdefault"
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "packetdefault"
Mar 15 09:42:56 children ipsec__plutorun: 021 no connection named "block"
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "block"
Mar 15 09:42:56 children ipsec__plutorun: 022 "di804": we have no ipsecN interface for either end of this connection
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "di804"
Mar 15 09:42:56 children ipsec__plutorun: 021 no connection named "clear-or-private"
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "clear-or-private"
Mar 15 09:42:56 children ipsec__plutorun: 021 no connection named "clear"
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "clear"
Mar 15 09:42:56 children ipsec__plutorun: 021 no connection named "private-or-clear"
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "private-or-clear"
Mar 15 09:42:56 children ipsec__plutorun: 021 no connection named "private"
Mar 15 09:42:56 children ipsec__plutorun: ...could not route conn "private"
Mar 15 09:42:56 children ipsec__plutorun: 022 "di804": we have no ipsecN interface for either end of this connection
Mar 15 09:42:56 children ipsec__plutorun: ...could not start conn "di804"


messages:

Код:
Mar 15 09:42:55 children pluto[1786]: Starting Pluto (FreeS/WAN Version 2.06 PLUTO_USES_KEYRR)
Mar 15 09:42:55 children pluto[1786]: Using KLIPS IPsec interface code
Mar 15 09:42:55 children pluto[1786]: added connection description "di804"
Mar 15 09:42:56 children pluto[1786]: listening for IKE messages
Mar 15 09:42:56 children pluto[1786]: adding interface ipsec0/eth1 172.16.1.254
Mar 15 09:42:56 children pluto[1786]: loading secrets from "/etc/ipsec.secrets"
Mar 15 09:42:56 children pluto[1786]: "di804": we have no ipsecN interface for either end of this connection


ipsec auto status:

Код:
ipsec auto: warning: obsolete command syntax used
000 interface ipsec0/eth1 172.16.1.254
000 %myid = (none)
000 debug none
000 
000 "di804": 172.16.1.0/24===192.168.13.136---192.168.13.240...192.168.17.240---192.168.17.201===172.16.2.0/24; unrouted; eroute owner: #0
000 "di804":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "di804":   policy: PSK+ENCRYPT+PFS; prio: 24,24; interface: ;
000 "di804":   newest ISAKMP SA: #0; newest IPsec SA: #0;
000 
000


Из логов мне не нравятся вот эти строчки:

Код:
--cut-- unrouted; eroute owner: #0


unrouted - не просто так наверно.

Код:
we have no ipsecN interface for either end of this connection


Какой еще ipsecN, когда в howto про него ничего не сказано и каким образом он вообще должен образоваться.

Вобщем туннель вроде как поднимается, но мне не понятно вот что, каким образом Linux с FreeSwan будет знать о существовании подсети 172.16.2.0/24. В route -n ее просто нет:

Код:
[children@kan5300]$ifconfig
eth0      Link encap:Ethernet  HWaddr 00:13:D4:FB:0D:B6 
          inet addr:192.168.13.136  Bcast:192.168.13.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:800 errors:0 dropped:0 overruns:0 frame:0
          TX packets:253 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:71483 (69.8 Kb)  TX bytes:105852 (103.3 Kb)
          Interrupt:10 Base address:0xe800

eth1      Link encap:Ethernet  HWaddr 00:80:48:3A:D0:BC 
          inet addr:172.16.1.254  Bcast:172.16.1.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:5 Base address:0x8800

ipsec0    Link encap:Ethernet  HWaddr 00:80:48:3A:D0:BC 
          inet addr:172.16.1.254  Mask:255.255.255.0
          UP RUNNING NOARP  MTU:16260  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:10
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[children@kan5300]$route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 ipsec0
192.168.13.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.13.240  0.0.0.0         UG    1      0        0 eth0
[children@kan5300]$


Что я делаю не так? Может быть я что-то не так настроил и должен подниматься интерфейс ipsec1 какраз с удаленной подсеткой? Поясните пожалуйста, а то я уже неделю сношаюсь с этой траблой.

_________________
Molokanov kaN5300 Ilya
--
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 246

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB