faq обучение настройка
Текущее время: Ср авг 06, 2025 20:27

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL-100 and route 0.0.0.0/0 to ipsec interface
СообщениеДобавлено: Чт май 26, 2005 19:58 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
Здравствуйте!

Возможно комуто покажется странным - но хочется
иметь возность отправить весть трафик из внутренней сети
через ipsec vpn.

Через веб интерфейс DFL-100 это не конфигурируемый вариант.

Device Information
Hardware Version: A1
Firmware Version: 2.30b9

Если обновить софт - возможен ли данный финт?

И еще умеет ли DFL-100 делать выбор из предлагаемого удаленной
сторойно набора возможных transformation? Если да, то с какой версии?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 05:45 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
Пустить весь трафик через IPSec тунелль не получиться.
Цитата:
И еще умеет ли DFL-100 делать выбор из предлагаемого удаленной
сторойно набора возможных transformation? Если да, то с какой версии?

Уточните что имеется в виду ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 09:46 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
A.B.C.D - Linux with FreeSWAN
a.b.c.d - DFL-100

FreeSWAN "предлагает" dlink'у на выбор четыре схемы работы
одна из которых точно поддерживается DFL-100 (#3)
DFL же вообще отказываетcя продожать. Сisco же
или отказывет отслылая диагностику, что не один из
вариантов не подходит для работы или
выбирает один из предложенных Вариантов.


10:09:56.545507 A.B.C.D.isakmp > a.b.c.d.isakmp: isakmp: phase 1 I ident:
(sa: doi=ipsec situation=identity
(p: #0 protoid=isakmp transform=4
(t: #0 id=ike (type=lifetype value=sec)(type=lifeduration value=0e10)(type=enc value=3des)(type=hash value=md5)(type=auth value=preshared)(type=group desc value=0005))
(t: #1 id=ike (type=lifetype value=sec)(type=lifeduration value=0e10)(type=enc value=3des)(type=hash value=sha1)(type=auth value=preshared)(type=group desc value=0005))
(t: #2 id=ike (type=lifetype value=sec)(type=lifeduration value=0e10)(type=enc value=3des)(type=hash value=sha1)(type=auth value=preshared)(type=group desc value=modp1024))
(t: #3 id=ike (type=lifetype value=sec)(type=lifeduration value=0e10)(type=enc value=3des)(type=hash value=md5)(type=auth value=preshared)(type=group desc value=modp1024)))) (DF)

10:09:56.648602 a.b.c.d.isakmp > A.B.C.D.isakmp: isakmp: phase 2/others R inf:
(n: doi=ipsec proto=isakmp type=ATTRIBUTES-NOT-SUPPORTED)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 10:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
Скорее всего DFL-100 смущает самый первый предложенный вариант с IKE DH Group 5.
t: #0 id=ike (type=lifetype value=sec)(type=lifeduration value=0e10)(type=enc value=3des)(type=hash value=md5)(type=auth value=preshared)(type=group desc value=0005))
Поддержки DH 5 в DFl-100 нет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 11:06 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
Тем нимение это не повод не посмотреть остальные предложенные варианты и выбрать подходящий.

А если нет подходящего сказать что так нет подходящего,
а не просто послать удаленную строну в пеший эротический тур!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 30, 2005 11:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
Проверил ситуацию. DFL-100 корректно выбирает из нескольких предложенных вариантов. Проверял на firmware 2.29.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 30, 2005 12:44 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
А на этой версии?

Device Information
Hardware Version: A1
Firmware Version: 2.30b9


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 30, 2005 12:46 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
Да и tcpdump можно процесса договора и Выбора?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 30, 2005 12:52 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
У нас на сайте прошивка 2.29 последняя. В ближайшее время приведу dump соединения.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 30, 2005 13:24 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
Обана!
Это не ваш сайт?

http://ftp.dlink.ru/pub/FireWall/DFL-100/Firmware/

Тут вроде как 2.32 уже доступна


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 30, 2005 19:14 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
Здравствуйте!

А вот такой вот финт возможен

1) pptp vpn до внешнего узла
2) default в pptp
3) трафик pptp тенеля уже шифруется ipsec'ом?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт май 31, 2005 07:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
Цитата:
Обана!
Это не ваш сайт?
http://ftp.dlink.ru/pub/FireWall/DFL-100/Firmware/
Тут вроде как 2.32 уже доступна

Это наш сайт, для HW rev A1 насколько я знаю 2.29 последняя. Укажите email куда выслать dump соединения.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт май 31, 2005 12:44 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
мое e-mail mag@caravan.ru

О версии софта, отмотайте ветку форума вверх,
на "скриншут" информации о версии железки и софта в ней.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт май 31, 2005 16:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Попросту говоря -- завернуть дефолт в ИПСек на этом устройстве не получится. По крайней мере мне ничего не известно о технологии такого проброса.

_________________
С уважением -- Александр Шебаронин.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт май 31, 2005 16:20 
Не в сети

Зарегистрирован: Чт май 26, 2005 19:41
Сообщений: 10
Откуда: Moscow
Здравствуйте!

На будущее, на каком оборудовании DLink возможно
завернуть default в IPSEC?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 300


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB