1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 13, 2025 20:59

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
RomanVlad
 Заголовок сообщения: IPsec тунель LAN to LAN между DFL-210 и DFL-900
СообщениеДобавлено: Пн авг 17, 2009 11:55 
Не в сети

Зарегистрирован: Пн авг 17, 2009 11:42
Сообщений: 4
Помогите разобраться с проблемой. Не проходит Phase1.

На DFL-900 в логах

2009-08-17 18:26:59 INFO Respond new phase 1 negotiation: xx.162.150.xx:500<=>xx.2.11.xx:500
2 2009-08-17 18:26:59 INFO Begin Aggressive mode.
3 2009-08-17 18:26:59 INFO received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
4 2009-08-17 18:26:59 INFO received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
5 2009-08-17 18:26:59 INFO received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
6 2009-08-17 18:26:59 INFO received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
7 2009-08-17 18:26:59 INFO received Vendor ID: RFC 3947
8 2009-08-17 18:26:59 NOTIFY couldn't find the proper pskey, try to get one by the peer's address.
9 2009-08-17 18:26:59 ERROR reject the Packet, received unexpecting payload type 0.
10 2009-08-17 18:28:00 ERROR phase1 negotiation failed due to time up. d37a723f63709472:2ca7535ad6d...

pskey используется HEX и он на обоих устройствах одинаковый.
алгоритмы шифрования тоже одинаковые


Логи на DFL-210

2009-08-17
19:29:15 Warning IPSEC
1800106


ike_invalid_payload

local_ip=xx.2.11.xx remote_ip=xx.162.150.xx cookies= reason="IKE_INVALID_COOKIE"
2009-08-17
19:29:14 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xb5f803b3, AH=0x6edf2b92, IPComp=0xcafe83b"
2009-08-17
19:29:14 Warning IPSEC
1802022

ike_sa_failed
no_ike_sa
statusmsg="Authentication failed" local_peer="127.0.0.1 ID xx.2.11.xx" remote_peer="xx.162.150.xx ID xx.162.150.xx" initiator_spi="ESP=0xb5f803b3,

при этом с DFL-900 нормально работают 4 устройства DFL-200, а DFL-210 не хочет.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 17, 2009 15:52 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
приведите настройки тоннелей на обоих устройствах. Судя по логу, у вас может быть как проблема с ключем так и различие в настройках тоннеля.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
RomanVlad
 Заголовок сообщения: Доп информация по настройкам
СообщениеДобавлено: Вт авг 18, 2009 06:00 
Не в сети

Зарегистрирован: Пн авг 17, 2009 11:42
Сообщений: 4
Скриншоты настройки обоих устройств
http://picasaweb.google.com/r.petrof/niRRQE?feat=directlink
Вернуться наверх
 Профиль  
 
vve
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 18, 2009 13:08 
Не в сети

Зарегистрирован: Вс авг 02, 2009 10:58
Сообщений: 55
Откуда: Москва
Попробуйте последовательно (на обоих концах туннеля):
1. Изменить протокол шифрования на 3DES.
2. Отключить Аggressive Mode.
3. Запретить NAT Traversal (если он реально не нужен).
Вернуться наверх
 Профиль  
 
RomanVlad
 Заголовок сообщения: проба вариантов
СообщениеДобавлено: Вт авг 18, 2009 15:13 
Не в сети

Зарегистрирован: Пн авг 17, 2009 11:42
Сообщений: 4
в режиме main с 3des md5 или sha1 вот что в логах
1 2009-08-18 22:09:52 INFO Respond new phase 1 negotiation: xx.162.150.xx:500<=>xx.2.11.xx:500
2 2009-08-18 22:09:52 INFO Begin Identity Protection mode.
3 2009-08-18 22:10:53 ERROR phase1 negotiation failed due to time up. 0b9f85e898ad3f96:fcdd159077c...

может дело в настройках файрволов?
Вернуться наверх
 Профиль  
 
vve
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 18, 2009 18:22 
Не в сети

Зарегистрирован: Вс авг 02, 2009 10:58
Сообщений: 55
Откуда: Москва
Очень похоже на проблему с несовпадающими PSK.
Возможно, DFL-900 считает ваш ключ ASCII-строкой, а DFL-210 - шестнадцатиричным числом.
Попробуйте с простым ключом (режиме Passphrase для DFL-210).
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 19, 2009 06:19 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Я бы еще посоветовал уменьшить длину PSK. Попробуйте что-то простое и короткое для теста.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
RomanVlad
 Заголовок сообщения: DFL210 - DFL900
СообщениеДобавлено: Вс авг 23, 2009 13:25 
Не в сети

Зарегистрирован: Пн авг 17, 2009 11:42
Сообщений: 4
Спасибо за помощь проблема решена.
Нужно было на DFL210 использовать не HEX а обычный PSK.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 326

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB