D-Link • Просмотр темы - Ping через тунель IPSec

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Ping через тунель IPSec

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Shatsky

Заголовок сообщения: Ping через тунель IPSec

Добавлено: Вт авг 30, 2011 14:19

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

Здравствуйте!

Есть два офиса между которыми настроен тунель IPSec.
Задача: разрешить пинг из офиса1 (DFL-800) в офис2 (DFL-860E)

Правило для DFL-800

Правило для DFL-860E

Пинг не проходит, где ошибка?

Cпасибо

Вернуться наверх

Dima G.

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Вт авг 30, 2011 16:14

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва

Пингуете компьютеры или сам DFL-860E ?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вернуться наверх

danilovav

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Ср авг 31, 2011 05:44

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Если пинг до DFL-860E, то надо правило Allow ipsec/remote_net core/lan_ip ping-inbound
Если пинг до ПК в удаленной сети (и не работает), разбирайтесь с антивирусами/файрволами на ПК в удаленной сети

На первом DFL-800 лучше отключите NAT (поменяйте на Allow) т.к. он бесполезен

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Ср авг 31, 2011 10:33

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

Dima G. писал(а):

Пингуете компьютеры или сам DFL-860E ?

пробовал любые варианты
по тем настройкам которые я выложил я хотел пинговать ПК в сети за DFL-860E

danilovav писал(а):

Для чистоты эксперимента я буду пинговать только DFL-860E
изменил правило на

пингую

Код:

ping 192.168.10.1 -t

Обмен пакетами с 192.168.10.1 по 32 байт:

Ответ от 192.168.10.1: число байт=32 время=2мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=2мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=2мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=2мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=2мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Ответ от 192.168.10.1: число байт=32 время=1мс TTL=254
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

после того как я применил правило оно работает несколько секунд.

Вернуться наверх

danilovav

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Ср авг 31, 2011 10:56

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

А настройки активизировались (применились) окончательно?
У вас мониторингов нет? Туннель живой?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Ср авг 31, 2011 11:05

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

danilovav писал(а):

А настройки активизировались (применились) окончательно?
У вас мониторингов нет? Туннель живой?

после применения настроек (отсчет 30 сек.) пинг работает некоторое время
монитора нет
Туннель живой, я подключаюсь к шаре компа

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Ср авг 31, 2011 13:23

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

log DFL-860E во время пинга

Код:

2011-08-31
16:22:24    Warning    RULE
6000051    Default_Rule    ICMP    fwA-ipsec
   192.168.100.115
192.168.10.1    
   ruleset_drop_packet
drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=33599 echoseq=26893
2011-08-31
16:22:19    Warning    RULE
6000051    Default_Rule    ICMP    fwA-ipsec
   192.168.100.115
192.168.10.1    
   ruleset_drop_packet
drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=33599 echoseq=26637
2011-08-31
16:22:08    Warning    RULE
6000051    Default_Rule    ICMP    fwA-ipsec
   192.168.100.115
192.168.10.1    
   ruleset_drop_packet
drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=33599 echoseq=26125 

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Чт сен 01, 2011 10:39

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

нет идей что может блокировать ICMP пакеты

Вернуться наверх

danilovav

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Чт сен 01, 2011 23:34

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Смотрите что в логах, когда прекращаются пинги
Смотрите по Status > Connections, проходят ли пинги через первый DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Пт сен 02, 2011 09:54

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

danilovav писал(а):

Смотрите что в логах, когда прекращаются пинги
Смотрите по Status > Connections, проходят ли пинги через первый DFL

Status > Connections DFL-800

Код:

PING         ICMP         lan:192.168.100.115:512         fwB-ipsec:192.168.10.1:512         3 

Скрин лога DFL-860E после применения правила, сначала пинг проходит и через несколько секунд прерывается.

Еще заметил странную особенность, после перезагрузки DFL-860E

меняется на Allow \ Lan \ Lannet \ fwA-remotenet \ lan \ lannet

Вернуться наверх

danilovav

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Сб сен 03, 2011 12:59

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

А у вас судя по логу не может активироваться конфигурация, вот и откатывает параметры
Смотрите параметры, измененные лишают вас возможности подсоединиться к DFL или же DFL просто не успевает поднять канал (тут можно увеличить тайм-аут)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Пн сен 12, 2011 15:01

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

danilovav писал(а):

Теперь не сохраняются настройки внесенный в InterfaceAddresses. После перезагрузки все возвращается к предыдущей конфигурации.
Установлена прошивка Firmware:DFL-860E A1 FW v2.30.01.06(for WW)

Что делать? Это брак?

Вернуться наверх

danilovav

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Вт сен 13, 2011 07:34

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Это косяк ваших настроек, когда новые параметры не удается применить - нет соединения

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Shatsky

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Вт сен 13, 2011 08:59

Зарегистрирован: Вт июл 28, 2009 14:37
Сообщений: 83

danilovav писал(а):

Это косяк ваших настроек, когда новые параметры не удается применить - нет соединения

какой может быть "косяк"?
админ вводит IP адрес в lan_ip и в lannet, сохраняет применяет, ничего не применяется, а если выключить питание все изменения пропадают.

Вернуться наверх

danilovav

Заголовок сообщения: Re: Ping через тунель IPSec

Добавлено: Вт сен 13, 2011 15:19

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Адрес меняется на другую подсеть?
Покажите список всех изменений, которые вы пытаетесь делать

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 277

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения