faq обучение настройка
Текущее время: Ср июл 09, 2025 15:11

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Чт сен 18, 2014 16:11 
Не в сети

Зарегистрирован: Чт сен 18, 2014 15:37
Сообщений: 19
Добрый день,
поднята конфигурация: два DFL860E с latest FW (2.60.02.02-24262), vpn lan-to-lan A(net_1)<->B(net_2), pre-shared keys, все нормально. На на роутере А поднимается Vlan (net_3) на интерфейсе Lan. Далее с интерфейса Vlan роутера А пробрасывается туннель на роутер В (net_3 --> net_2). VPN не поднимается, в ikesnoop "Invalid pre-shared key. Invalid next payload type." Причем, если погасить VPN1 (net_1<->net_2), туннель VPN2 (net_1-net_3) поднимается. Порядок чтения учтен, т е VPN2 находится в начале списка, VPN1 в конце. Если погасить VPN2, то понимается VPN1 соответственно. Ключи, настройки IPSEC проверены и идентичны. Проверено на конфигурации DFL 860 > DFL260, картина такая же. Port Based VLAN Disabled.

Т.е. на одной железке подняты две сети на одном интерфейсе, из которых 2 туннеля ведут на другую железку в одну сеть.
Подскажите, пожалуйста, возможна ли такая конфигурация?

PS: В принципе, пробовал подобное и с дополнительным IP адресом на интерфейсе Lan, тоже не поднялось.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Чт сен 18, 2014 16:22 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Не очень понятна конечная цель всего этого действа.

если надо связать net_3 и net_2 воспользуйтесь уже существующим туннелем.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Чт сен 18, 2014 16:38 
Не в сети

Зарегистрирован: Чт сен 18, 2014 15:37
Сообщений: 19
Да, совершенно верно, необходимо связать net3 и net2. Не подскажете ли, в сторону чего смотреть, чтобы реализовать задуманное?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Чт сен 18, 2014 16:56 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Со стороны А в настройках IPsec обоих DFL указываете группу сетей net_1, net_3
маршруты получатся автоматически. IP-Правила надо будет привести в соответствие

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Чт сен 18, 2014 17:21 
Не в сети

Зарегистрирован: Чт сен 18, 2014 15:37
Сообщений: 19
Большое вам спасибо, все получилось! Где-то я натыкался сегодня на то, что IPSec может работать с группами сетей, но не обратил внимания. Еще раз спасибо!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Пт сен 19, 2014 07:52 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc
вот ваша ситуация , только в частном порядке ....

а вообще , лично я , рекомендую поднимать туннели с параметрами ALL-NETS.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Пт сен 19, 2014 08:57 
Не в сети

Зарегистрирован: Чт сен 18, 2014 15:37
Сообщений: 19
Насколько я понял, можно было добавить маршрут на В для net_3 с указанием IPSec-интерфейса net_1 в качестве интерфейса назначения плюс соответствующие правила на обеих сторонах? Т.е. через IPSEc канал можно завернуть трафик из любой подсети, описанной на fw A? Жесткой привязки к конкретным подсетям не существует?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Пт сен 19, 2014 09:46 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
andly писал(а):
Насколько я понял, можно было добавить маршрут на В для net_3 с указанием IPSec-интерфейса net_1 в качестве интерфейса назначения плюс соответствующие правила на обеих сторонах? Т.е. через IPSEc канал можно завернуть трафик из любой подсети, описанной на fw A? Жесткой привязки к конкретным подсетям не существует?

Как раз наоборот - в IPsec пойдет только трафик из сетей, указанных в настройках IPsec. А вот PPTP/L2TP/GRE - свободно маршрутизируемые.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Пт сен 19, 2014 10:32, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Пт сен 19, 2014 09:57 
Не в сети

Зарегистрирован: Чт сен 18, 2014 15:37
Сообщений: 19
Спасибо, начинает проясняться. Может быть, посоветуете что-либо почитать на эту тему? (кроме RTFM:)))


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Пт сен 19, 2014 10:34 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
andly писал(а):
Спасибо, начинает проясняться. Может быть, посоветуете что-либо почитать на эту тему? (кроме RTFM:)))

Вряд-ли мне есть, что вам посоветовать. Я многому научился в процессе, по случаю. Кроме основ TCP/IP в учебном курсе Microsoft

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Вс сен 21, 2014 06:17 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
YuriAM писал(а):
andly писал(а):
Насколько я понял, можно было добавить маршрут на В для net_3 с указанием IPSec-интерфейса net_1 в качестве интерфейса назначения плюс соответствующие правила на обеих сторонах? Т.е. через IPSEc канал можно завернуть трафик из любой подсети, описанной на fw A? Жесткой привязки к конкретным подсетям не существует?

Как раз наоборот - в IPsec пойдет только трафик из сетей, указанных в настройках IPsec. А вот PPTP/L2TP/GRE - свободно маршрутизируемые.

Поэтому я и советую поднимать туннели с параметрами all-nets . В таком случае они тоже станут свободно маршрутизируемыми а необходимые маршруты напишутся руками .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN из VLAN на интерфейсе Lan
СообщениеДобавлено: Вс сен 21, 2014 11:12 
Не в сети

Зарегистрирован: Чт сен 18, 2014 15:37
Сообщений: 19
Цитата:
Поэтому я и советую поднимать туннели с параметрами all-nets . В таком случае они тоже станут свободно маршрутизируемыми а необходимые маршруты напишутся руками .

В этом плане я придерживаюсь старого принципа - все запретить, открывать то, что нужно. В плане диагностики такой подход тоже, ИМХО, полезней


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 365


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB