faq обучение настройка
Текущее время: Ср июл 30, 2025 09:33

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 41 ]  На страницу 1, 2, 3  След.
Автор Сообщение
 Заголовок сообщения: dfl-210 ipsec di-804hv
СообщениеДобавлено: Пт мар 19, 2010 12:35 
Не в сети

Зарегистрирован: Пн фев 02, 2009 10:40
Сообщений: 272
Откуда: СПб
здравствуйте. настраивал dfl-210 вот по этому мануалу http://www.dlink.ru/ru/faq/92/927.html а di-804 вот по этому http://www.dlink.ru/ru/faq/92/520.html проблема в том что ipsec держится 90 секунд и падает потом вновь востанавливается и опять по новой. Привожу лог di-804

Sunday August 23, 2009 13:55:07 IPSec tunnel keep alive : peer IP 192.168.1.3
Sunday August 23, 2009 13:55:07 [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0]
Sunday August 23, 2009 13:55:23 IPSec tunnel keep alive : peer IP 192.168.1.3
Sunday August 23, 2009 13:55:23 [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0]
Sunday August 23, 2009 13:55:39 IPSec tunnel keep alive : peer IP 192.168.1.3
Sunday August 23, 2009 13:55:39 [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0]
Sunday August 23, 2009 13:55:55 IPSec tunnel keep alive : peer IP 192.168.1.3
Sunday August 23, 2009 13:55:55 [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0]
Sunday August 23, 2009 13:56:06 Warming : delete IPSec tunnel because remote subnet no response
Sunday August 23, 2009 13:56:06 Send IKE (INFO) : delete [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0] phase 2
Sunday August 23, 2009 13:56:06 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Sunday August 23, 2009 13:56:06 inbound SPI = 0x3c0619d0, outbound SPI = 0xb7ce2952
Sunday August 23, 2009 13:56:06 Send IKE (INFO) : delete 10.188.14.168 -> 10.188.148.3 phase 1
Sunday August 23, 2009 13:56:06 IKE phase1 (ISAKMP SA) remove : 10.188.14.168 <-> 10.188.148.3
Sunday August 23, 2009 13:56:06 Send IKE M1(INIT) : 10.188.14.168 --> 10.188.148.3
Sunday August 23, 2009 13:56:06 Receive IKE M2(RESP) : 10.188.148.3 --> 10.188.14.168
Sunday August 23, 2009 13:56:06 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Sunday August 23, 2009 13:56:06 Send IKE M3(KEYINIT) : 10.188.14.168 --> 10.188.148.3
Sunday August 23, 2009 13:56:06 Receive IKE M4(KEYRESP) : 10.188.148.3 --> 10.188.14.168
Sunday August 23, 2009 13:56:07 Send IKE M5(IDINIT) : 10.188.14.168 --> 10.188.148.3
Sunday August 23, 2009 13:56:06 Send IKE M5(IDINIT) : 10.188.14.168 --> 10.188.148.3
Sunday August 23, 2009 13:56:06 Receive IKE M6(IDRESP) : 10.188.148.3 --> 10.188.14.168
Sunday August 23, 2009 13:56:06 IKE Phase1 (ISAKMP SA) established : 10.188.148.3 <-> 10.188.14.168
Sunday August 23, 2009 13:56:06 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Sunday August 23, 2009 13:56:06 Receive IKE Q2(QRESP) : [192.168.1.0|10.188.148.3]-->[10.188.14.168|192.168.0.0]
Sunday August 23, 2009 13:56:06 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Sunday August 23, 2009 13:56:06 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Sunday August 23, 2009 13:56:06 IKE Phase2 (IPSEC SA) established : [192.168.1.0|10.188.148.3]<->[10.188.14.168|192.168.0.0]
Sunday August 23, 2009 13:56:06 inbound SPI = 0x3e0660db, outbound SPI = 0x6749f038
Sunday August 23, 2009 13:56:12 Receive IKE INFO : 10.188.148.3 --> 10.188.14.168
Sunday August 23, 2009 13:56:22 IPSec tunnel keep alive : peer IP 192.168.1.3
Sunday August 23, 2009 13:56:22 [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0]
Sunday August 23, 2009 13:56:26 Send IKE (INFO) : delete [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0] phase 2
Sunday August 23, 2009 13:56:26 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Sunday August 23, 2009 13:56:26 inbound SPI = 0x3e0660db, outbound SPI = 0x6749f038
Sunday August 23, 2009 13:56:26 Send IKE (INFO) : delete 10.188.14.168 -> 10.188.148.3 phase 1
Sunday August 23, 2009 13:56:26 IKE phase1 (ISAKMP SA) remove : 10.188.14.168 <-> 10.188.148.3

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 19, 2010 12:36 
Не в сети

Зарегистрирован: Пн фев 02, 2009 10:40
Сообщений: 272
Откуда: СПб
В чем может быть проблема?

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dfl-210 ipsec di-804hv
СообщениеДобавлено: Пт мар 19, 2010 12:47 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
evinslov писал(а):
Sunday August 23, 2009 13:55:55 IPSec tunnel keep alive : peer IP 192.168.1.3
Sunday August 23, 2009 13:55:55 [192.168.0.0|10.188.14.168]-->[10.188.148.3|192.168.1.0]
Sunday August 23, 2009 13:56:06 Warming : delete IPSec tunnel because remote subnet no response
а если отключить "keep alive" ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 19, 2010 12:54 
Не в сети

Зарегистрирован: Пн фев 02, 2009 10:40
Сообщений: 272
Откуда: СПб
СПС огромное, получилось, канал держится. Вопрос а можно поставить время жизни канала не 3600 а 86400?

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 19, 2010 12:58 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
evinslov писал(а):
СПС огромное, получилось, канал держится. Вопрос а можно поставить время жизни канала не 3600 а 86400?
это не время жизни канала


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 23, 2010 23:11 
Не в сети

Зарегистрирован: Сб сен 20, 2008 16:41
Сообщений: 87
Откуда: г. Самара
оборудование аналогичная, только dfl-210 и dl-804hv настроено по http://dlink.ru/ru/faq/92/520.html


в статусе Dl-804HV тунель поднят, как и показано на картинках, но доступа нет

захожу по dyndns на DFL-210 и пингую c него и WAN и LAN и всю сетку, подключенную со стороны Dl-804HV, а вот наоборот не получается

т.е. с компа, на котором шлюзом указан Dl-804HV, я не пингую и не вижу LAN DFL-210, хотя оба правила для данного случая прописал и даже поместил первой строкой, но не работает

на обоих железках поднято РРОЕ до провайдера, на DFL-210 раздача инета идет через поднятый на нем РРТР-сервер

в чем причина может быть?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 23, 2010 23:13 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
С самого DI вы ничего за DFL не сможете пинговать. Запустите пинг из сети за DI и смотрите на DFL - во-первых, Status-Connections, во вторых логи.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 25, 2010 00:14 
Не в сети

Зарегистрирован: Сб сен 20, 2008 16:41
Сообщений: 87
Откуда: г. Самара
подробнее

DFL-804HV
LAN 192.168.68.0/24
ip_pools 10.15.20.0/24
WAN 109.........2

Dl-804HV
LAN 192.168.100.0/24
WAN 109......1

в статусе 804 поднят ipsec, тоже самое отображается, что и http://dlink.ru/ru/faq/92/520.html

в логах 804
Thursday March 25, 2010 01:24:21 Receive IKE INFO : 109.........2 --> 109......1
Thursday March 25, 2010 01:24:21 Receive IKE INFO : 109.........2 --> 109......1
Thursday March 25, 2010 01:24:21 Receive IKE INFO : 109.........2 --> 109......1

в логах DFL-210
RAWIP ESP DomRU_wan:109.......1:0 core:109.......2:0 128

FIN_RCVD TCP DomRU_wan:109.......1:63157 core:109.......2:80 68

на DFL-210 РРОЕ до провайдера, wan_ip по умолчанию 0.0.0.0 DHCP, было настроено когда динамический айпишник был, сейчас сделал постоянный, может нужно прописать в объектах используемый на wan белый айпишник? может причина в этом?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 25, 2010 07:14 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Информация это хорошо, только на DFL более информативна в вашем случае Status-Routes

И из сети за DI - пингуется?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 25, 2010 16:45 
Не в сети

Зарегистрирован: Пн фев 02, 2009 10:40
Сообщений: 272
Откуда: СПб
А у меня седующий вопрос, ipsec установлен и из сетки dfl могу ходить в сетку за di в сетке с di подключен ip телефон с адресом 192.168.0.2 сам di c адресом 192.168.0.1 не могу зайти по ipsec в админку di хотя в админку телефона заходит. Пробовал перевести di на другой адрес и порт и безрезультатно. В чем может быть проблема?

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 25, 2010 17:35 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Возможно, это ограничение DI... Под рукой DI нету чтобы проверить

Коллеги с конфигурациями DFL-DI, у вас через IPsec в админку DI заходится?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 25, 2010 17:40 
Не в сети

Зарегистрирован: Пн фев 02, 2009 10:40
Сообщений: 272
Откуда: СПб
до этого была конфигурация di-di тоже был настроен ipsec можно было зайти в админку.

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 30, 2010 00:14 
Не в сети

Зарегистрирован: Сб сен 20, 2008 16:41
Сообщений: 87
Откуда: г. Самара
192.168.100.0/24 Tunnel 90
192.168.68.0/24 lan 100
0.0.0.0/0 DomRU_wan 80
0.0.0.0/0 DomRu_dmz 90
0.0.0.0/0 wan 100
0.0.0.0/0 dmz 100


со стороны dfl я спокойно захожу на Dl по его айпишнику на LAN, что свидетельствует о поднятом тунеле, а вот со стороны Dl я например не могу зайти ни на один айпишник в сети DFL, что наводит на мысль о том, что нужно что-то дописать в правилах DFL, но вопрос что именно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 30, 2010 05:36 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Для максимальной простоты и прозрачности, достаточно трех правил

Allow lan/lan_net ipsec_if/remote_net all_services
Allow ipsec_if/remote_net lan/lan_net all_services
Allow ipsec_if/remote_net core/lan_ip all_services

Чтобы была админка, надо ее сделать для ipsec-интерфейса в System > Remote management

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 01, 2010 23:20 
Не в сети

Зарегистрирован: Сб сен 20, 2008 16:41
Сообщений: 87
Откуда: г. Самара
спасибо, помогло, доступ открыл, но возник вопрос:
допустим lan dfl-210 192.168.0.1, а в одной подсети с ним есть дополнительные сервера инета и маршрутизаторы до других подсетей, у клиентов инета естественно прописан шлюз айпишник своего сервера, например 192.168.0.2, сервер маршрутизатор до других сетей (трекер например) 192.168.0.3

мне нужно прописать на dfl-210 маршруты от Lan_ip dfl-210 192.168.0.1 до серверов 192.168.0.2 и 192.168.0.3, чтобы иметь доступ к данным серверам, а также ко всем клиентам, у которых прописаны шлюзом данные сервера???


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 41 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 225


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB