1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 20:14

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
vaso
СообщениеДобавлено: Ср май 11, 2011 11:10 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
задача: соединить 2 точки в городе (радиостанции с выносными модулями по ethernet )
дали : 2 штуки dfl-800. выход в инет через 2 провайдеров в обеих точках.
я так понимаю нужно настроить 2 IPSEC туннеля через WAN1 / WAN2.
прочитали кучу манов на сайте длинка по поднятию тоннелей.
подняли. НО возник вопрос - если пропадает электричество на любом df-800 и линк по WAn1 , то при появлении электричества
IPSEC тоннель по WAN2 не поднимается.
а нам нужно чтобы связь поднималась в с любого WAN при любых оказиях с электричеством и живом одном из каналов.

начну с настроек:
1. Address Book ->InterfaceAddresses:
Скрытый текст: показать
# Name Address
1 wan1_ip 10.158.21.30
2 wan1net 10.158.21.0/24
3 wan1_gw 10.158.21.31
4 wan1_dns 10.0.0.0
5 wan1_dns 20.0.0.0
6 lan_ip 192.168.2.1
7 lannet 192.168.2.0/24
8 dmz_ip 172.17.100.254
9 dmznet 172.17.100.0/24
10 wan2_ip 192.168.1.2
11 wan2net 192.168.1.0/24
12 wan2_gw 192.168.1.3
13 wans_ip wan1_ip, wan2_ip

2. Rules -> IP Rules
Скрытый текст: показать
lan_to_wans
# Name Action Source interface Source network Destination interface Destination network Service
1 drop_smb-all Drop lan lannet wans all-nets smb-all
2 allow_ping-outbound NAT lan lannet wans all-nets ping-outbound
3 ftp_pass NAT wans all-nets lan lannet ftp-passthrough
4 allow_all_tcp Allow lan lannet wans all-nets all_tcpudp

lan_to_fwB_IPSec
1 allow_Lan_to_fwB_IPSec Allow IPSec-Lan-Group all-nets IPSec-Lan-Group all-nets all_services

4 ping_fw Allow any all-nets any all-nets ping-inbound
5 ping_in Allow any all-nets any all-nets ping-outbound

Rules -> Access
Скрытый текст: показать
1 access_to_B Accept IPSec-Lan-Group fwB_IPSec_remote_net

3 Interfaces->Ethernet
Скрытый текст: показать
# Name IP address Network Default Gateway Enable DHCP Client
1 wan1 wan1_ip wan1net wan1_gw No
2 wan2 wan2_ip wan2net wan2_gw No
3 dmz dmz_ip dmznet No
4 lan lan_ip lannet No
галки с Automatic Route Creation убраны.

по IPSEC. созданы 2 тоннеля.
Main_IPSec_tunnel : lannet/ fwB_IPSec_remote_net/ fwB_main_remote_gw/PSK
на вкладке Routing гали с Routing убраны.
и
Backup_IPSec_tunnel lannet fwB_IPSec_remote_net fwB_backup_remote_gw PSK
на вкладке Routing гали с Routing убраны.

в Advance Setting стоят галки на :
IKE Send Initial Contact:
IKE Send CRLs:
IPsec Before Rules:

по интерфейсам:
группа IPSec-Lan-Group - Main-IPSec-Tunnel/Backup-IPSec-Tunnel/LAN
группа WANS - WAN1/WAN2

4 Routing
Скрытый текст: показать
в Routing Tables прописал 2 таблицы:
main:
# Type Interface Network Gateway Local IP address Metric Monitor this route
1 Route Main_IPSec_tunnel fwB_IPSec_remote_net fwB_main_remote_gw wan1_ip 60 Yes
3 Route wan1 wan1net wan1_gw 100 Yes
4 Route wan1 all-nets wan1_gw 100 Yes
5 Route wan2 wan2net wan2_gw 110 No
6 Route wan2 all-nets wan2_gw 110 No
11 Route lan lannet 100 No

и alt - для WAN2:
2 Route Backup_IPSec_tunnel fwB_IPSec_remote_net fwB_backup_remote_gw wan2_ip 60 Yes
3 Route wan1 wan1net 100 No
4 Route wan1 all-nets wan1_gw 100 No
5 Route wan2 wan2net 90 Yes
6 Route wan2 all-nets wan2_gw 90 Yes
7 Route lan lannet

в Routing Rules
# Name Source interface Source network Destination interface Destination network Service
1 IPSec-Lan-1 lan lannet wans all-nets all_services
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Чт май 12, 2011 05:25 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Как минимум, с маршрутами вы перекрутили
Смотрите viewtopic.php?t=127202 - пример с двумя каналами с обоих сторон
Вам надо 2 туннеля, статические маршруты между wan-ами, мониторинг ICMP
В альтернативных таблицах - только маршрут на соответсвующий интерфейс и обработка входящих через эту таблицу

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
vaso
СообщениеДобавлено: Чт май 12, 2011 14:40 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
сделали как советовали по этому:
Скрытый текст: показать
1) Objects > Address book > RemoteNetworks
Делаете объекты
remote_ip1, remote_ip2 - адреса wan1 и wan2 удаленного DFL
remote_net - lannet удаленного DFL
remote_dfl - lan_ip удаленного DFL

2) Routing > Routing tables > main
Добавляете маршруты
wan1 remote_ip1 wan1_gw 1
wan2 remote_ip2 wan2_gw 2 - тут решили дать метрику 2, а не 1

3) Interfaces > IPsec
Настраиваете туннели ipsec_remote1 и ipsec_remote2, автоматическое создание маршрута отключаете

4) Interfaces > Interface groups
Делаете группу ipsec_remote из ipsec_remote1 и ipsec_remote2

5) Rules > IP rules
Делаете правила
Allow ipsec_remote/remote_net core/lan_ip ping-inbound
Allow ipsec_remote/remote_net lan/lannet all_services
Allow lan/lannet ipsec_remote/remote_net all_services

6) Routing > Routing tables > main
Делаете маршруты на туннели как по FAQ (разные метрики) с применением ICMP мониторинга на remote_dfl
ipsec_remote1 remote_net 90
ipsec_remote2 remote_net 91

7) Routing > Routing tables
Добавляете таблицу маршрутизации alt_wan1 с ordering only, добавляете в нее единственный дефолтный маршрут на wan1 без мониторинга - wan1 all-nets wan1_gw 100
Аналогично для wan2 (alt_wan2)
Добавляете таблицу alt_ipsec_remote1, добавляете в нее единственный маршрут - ipsec_remote1 all-nets 100
Аналогично для ipsec_remote2 (alt_ipsec_remote2)

8) Routing > Routing rules
Делаете правила
wan1/all-nets any/all-nets, forward main, return alt_wan1
wan2/all-nets any/all-nets, forward main, return alt_wan2
ipsec_remote1/all-nets any/all-nets, forward main, return alt_ipsec_remote1
ipsec_remote2/all-nets any/all-nets, forward main, return alt_ipsec_remote2
Если вам не надо одновременную доступность обоих WAN-ов, то первые два правила можно переписать в виде
wan1/remote_ip1 any/all-nets, forward main, return alt_wan1
wan2/remote_ip2 any/all-nets, forward main, return alt_wan2


работает, но но такая ситуация:
нам нуна подключить кучу удаленных радиостанций по локалке с их тангетами.
(тангета с нашей стороны, приемопередатчик с антенной с другой стороны)
+ через Moxa NPORT для Фобоса.

если оба WAN или WAN1 подключены - стартует за 4 сек с первого.
если тока WAN2 - сек за 15-20 сек.

если во время работы (оба WAN включены и передача идет по WAN1) выдергиваем WAN1, то на WAN2 переходит сек за 10
если во время работы (оба WAN включены и передача идет по WAN2) выдергиваем WAN2, то на WAN1 переходит сек за 2мин. 15сек

если WAN1 обрывается и переходит на WAN2 , то потом после восстановления WAN1 , на него не возвращается.

прошивка англицкая 2.27.00.14-14088

Всё заработало, вопрос решен.
Вернуться наверх
 Профиль  
 
vaso
СообщениеДобавлено: Пт май 13, 2011 10:24 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
вопрос все таки не решен.

когда отключается WAN1, то все переходит на WAN2. ТИпа все нормуль.
НО когда WAN1 восстанавливается, то на него не переключается - вся передача идет через WAN2.
а нам надо чтобы на WAN1 всегда возвращался.
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Пт май 13, 2011 12:25 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вам поможет ICMP мониторинг маршрутов + обработка входящих из IPsec через альтернативные соответствующие таблицы

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
vaso
СообщениеДобавлено: Пт май 13, 2011 13:26 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
vaso писал(а):
вопрос все таки не решен.

когда отключается WAN1, то все переходит на WAN2. ТИпа все нормуль.
НО когда WAN1 восстанавливается, то на него не переключается - вся передача идет через WAN2.
а нам надо чтобы на WAN1 всегда возвращался.


не сочтите за тупость, но ткните или напишите как это делается.
//а я пока за штудирование манов примусь.
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Сб май 14, 2011 15:56 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Routing > Routing tables
Добавляете таблицу alt_ipsec1
Добавляете в нее маршрут ipsec1 all-nets (без шлюза) 100

Routing > Routing rules
ipsec1/all-nets any/all-nets, forward main, return alt_ipsec1

Аналогично и для второго IPsec
Мониторинг - только ICMP и не забудьте разрешающее правило для пинга

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
vaso
СообщениеДобавлено: Пн май 23, 2011 20:49 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
danilovav писал(а):
Routing > Routing tables
Добавляете таблицу alt_ipsec1
Добавляете в нее маршрут ipsec1 all-nets (без шлюза) 100

Routing > Routing rules
ipsec1/all-nets any/all-nets, forward main, return alt_ipsec1

Аналогично и для второго IPsec
Мониторинг - только ICMP и не забудьте разрешающее правило для пинга


в наших настройках и так это присутствует - но рации не хотят переходить никак (сочтем это за их особенность, потому что Moxa нормально переходит на WAN1)

встряли на том, на что бы и не подумали. дело в том, WAN2 соединяются по ADSL. И сидят за ADSL модемами D-Link 2540U
//при настройке мы то включили их напрямую.

Изображение
пока что на модемах:
включили NAT
вырубили firewall
на каждом включили проброс портов для IPSEC - IP вирт сервера - WAN2 IP. удаленный IP - IP удаленного модема

на DFL:
1)Objects > Address book > RemoteHosts
в Remote_IP2 = wan2 remote_ip2 wan2_gw 2 указали внешние IP для противоположного модема

//пока ничего не запустилось :(
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Пн май 23, 2011 22:45 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Как минимум в вашей конфигурации надо еще
- включить NAT-T
- ID указать как IP - белый адрес своего модема

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
vaso
СообщениеДобавлено: Вт май 24, 2011 08:33 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
danilovav писал(а):
Как минимум в вашей конфигурации надо еще
- включить NAT-T
- ID указать как IP - белый адрес своего модема



NAT-T я нашел в интерфейсах - IPSEC - ipsec_remote2 - IKE Settings - NAT Traversal

это?

еще в логах это:
LogOpenFails ICMP wan2 192.168.1.1/192.168.1.2 no_new_conn_for_this_packet drop

и

statusmsg="No proposal chosen" local_peer="192.168.1.2 ID No Id" remote_peer="94.241.241.201 ID No Id" initiator_spi="ESP=0x3929e721, AH=0xce830902, IPComp=0xc1d916a2"
Вернуться наверх
 Профиль  
 
vaso
СообщениеДобавлено: Вт май 24, 2011 10:50 
Не в сети

Зарегистрирован: Ср май 11, 2011 10:10
Сообщений: 8
в IPSEC в Remote Endpoint: указал Remote_IP2 - внешний адрем другого модема.
заработало
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 336

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB