1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 06, 2025 16:32

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 19 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 08, 2009 13:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Судя по логам с DI
Код:
There is invalid ISAKMP transform ID. (unsued)


Крутите линукс.

В моем тесте с racoon все работало стабильно.

/etc/racoon/racoon.conf

Код:
remote 192.168.100.106
{
       exchange_mode main;
       doi ipsec_doi;
       situation identity_only;
       my_identifier address 192.168.100.47;
       peers_identifier address 192.168.100.106;
       initial_contact on;
       nat_traversal off;
       generate_policy unique;
       proposal_check obey;
proposal {
       encryption_algorithm 3des;
       hash_algorithm md5;
       authentication_method pre_shared_key;
       dh_group 2;
       lifetime time 28800 sec;
       }
}

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
KanycTa
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 09, 2009 07:44 
Не в сети

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31
Видимо это не мои логи, я у себя такой ошибки не нашел.

Изменил я настройки как указано. Прошивку новую залил.
Ничего не помогло, заработало пока только 4 длинка из 6. (ипсек поднимается, пакеты не ходят)
Хочу еще внести в ясность полную картину:
Я имею шлюз на убунте
в иптаблес прописано:

Код:
radius=192.168.253.2
if_epn=xxx.xxx.xxx.xxx #Внешний ип адресса

iptables -t filter -A INPUT -p esp -j ACCEPT
iptables -t filter -A INPUT -p ah -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 500 -j ACCEPT
iptables -t filter -A INPUT -p 50 -j ACCEPT
iptables -t filter -A INPUT -p 51 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 4500 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.253.0/24  -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.253.0/24  -j ACCEPT

iptables -t nat -A PREROUTING -p esp -d $if_epn -j DNAT --to-destination $radius
iptables -t nat -A PREROUTING -p udp -d $if_epn --dport 500 -j DNAT --to-destination $radius:500


Т.е порты для ipsec пробрасываются на 192.168.253.2

еще прописаны маршруты
ip route add 192.168.50.0/4 via 192.168.253.5
на самом 192.168.253. установленн racoon и ipsec-tools

pks.txt
Код:
yyy.yyy.yyy.yyy key


racoon.conf
Код:
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous
{
    exchange_mode aggressive,main,base;
    doi ipsec_doi;
    situation identity_only;
    lifetime time 28880 sec;
    initial_contact on;
    nat_traversal off;
    proposal_check obey;
    proposal {
        encryption_algorithm 3des;
        hash_algorithm md5;
        authentication_method pre_shared_key;
        dh_group 2;
    }
}
sainfo anonymous
{
    pfs_group 2;
    encryption_algorithm 3des;
    authentication_algorithm hmac_md5;
    compression_algorithm deflate;
}



ipsec-tools.conf

Код:
#!/usr/sbin/setkey -f

flush;
spdflush;
spdadd 192.168.0.0/16 192.168.225.0/24 any -P out ipsec esp/tunnel/192.168.253.2-yyy.yyy.yyy.yyy/require;
spdadd 192.168.225.0/24 192.168.0.0/16 any -P in ipsec esp/tunnel/yyy.yyy.yyy.yyy-192.168.253.2/require;


С такими настройками работает ровно половина длинков и все linux сервера.
Я не смог поставить racoonна шлюз, по причине того что пакеты уходят на шлюз по умолчанию, приоритеты ipsec не помогают.

ИПСЕК тенуль между Dlink - Dlink работает вроде нормально
Может кто в этом увид проблему?

Такая схему у меня работала 2 месяца нормально. никто изменений не вносил, длинки работали бесперебойно. Началось это все месяц назад на нескольких длинках, сейчас уже на всех. Это может как-то связано с вирусами или атаками?
Вернуться наверх
 Профиль  
 
KanycTa
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 10, 2009 06:27 
Не в сети

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31
ап
Вернуться наверх
 Профиль  
 
KanycTa
 Заголовок сообщения:
СообщениеДобавлено: Пн июл 13, 2009 07:15 
Не в сети

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31
ап
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 19 ]  На страницу Пред.  1, 2

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 322

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB