1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 21:38

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Van Hoffen
СообщениеДобавлено: Пт янв 20, 2012 09:35 
Не в сети

Зарегистрирован: Пн янв 16, 2012 09:52
Сообщений: 32
Откуда: Saint-Petersburg
Доброго времени суток.
Сам работаю в Петербурге послали в коммандировку в Москву подключать оборудование для организации работы удаленного офиса. В основном офисе в Питере у нас стоит DFL-860e через нее раздается интернет + настроен файловер с приоритетом на WAN2, т.е. подключено 2 разных провайдера. В удаленном офисе стоит - DFL-800 нужно настроить VPN lan-2-lan.
Ну думаю в принципе сложного же ничего не должно быть. Дано
Скрытый текст: показать
DFL-860E - Прошивка 2.30.01.06-15901
WAN1
Код:
192.168.110.1
255.255.255.0 (192.168.110.0/24)
192.168.110.254

WAN2
Код:
192.168.120.1
255.255.255.0 (192.168.120.0/24)
192.168.120.254

LAN
Код:
192.168.0.3
255.255.255.0 (192.168.0.0/24)


Скрытый текст: показать
DFL-800 - Прошивка 2.27.00.15-14098
Код:
WAN1
192.168.130.1
255.255.255.0 (192.168.130.0/24)

192.168.130.254
LAN
Код:
192.168.10.1
255.255.255.0 (192.168.10.0/24)

Сначала настраивал как показано в мануале http://www.dlink.ru/ru/faq/92/850.html естественно взял только ту часть которая касается DFL-210/260/800/860/1600/2500 т.е. первую, настроил аналогично на обоих устройствах. С устройства пинги ходили в удаленную сеть т.е. с DFL-860-rem_net и с DFL-800-main_net . Но из сети в сеть пакеты не бегали. Заметил что на DFL-860 в "Status"-"IpSec"-"List all active IKE SAs" присутствует только одна запись вида
Код:
192.168.130.1 2012-01-20 13:58:53 2012-01-20 21:58:53 des-cbc.

На удаленном DFL-800 в том же "Status"-"IpSec"-"List all active IKE SAs" уже 3 страницы с записями вида
Код:
192.168.120.1 2012-01-20 13:58:53 2012-01-20 21:58:53 des-cbc

Снес все. настроил заново только на удаленном DFL-800 использовал этот мануал http://www.dlink.ru/ru/faq/85/575.html т.е. настроил 2 IPSec main - backup на wan1 и wan2 главной DFL-860 соответственно. На самой DFL-860 настроил все по старому.
Сейчас ситуация хуже пинги не ходят вообще, ниоткуда. На DFL-800 в "Status"-"IpSec"-"List all active IKE SAs" опять уже 3 страницы, что делать не знаю...
Господа прошу помощи срочно т.к. мне сегодня до 16:30 нужно кроме этого еще вторичный домен поднять, завести все клиентские места и еще тут по мелочи. Погибаю, помогайте.

_________________
С уважением, Иван.
____________________________________
Скрытый текст: показать
DFL-800 - 2.27.06.10-19064
DFL-860E - 2.40.01.08-17754
  1. DFL-260E - 10.21.02.01-25332
  2. DFL-260E - 2.60.02.02-24265
  3. DFL-260E - 2.40.01.08-17758
  4. DFL-260E - 2.40.04.08-21460
Вернуться наверх
 Профиль  
 
Van Hoffen
СообщениеДобавлено: Пт янв 20, 2012 11:21 
Не в сети

Зарегистрирован: Пн янв 16, 2012 09:52
Сообщений: 32
Откуда: Saint-Petersburg
Так же замечена следующая ошибка в логах -
Код:
2012-01-20 15:20:35   Warning IPSEC  1800106   ike_invalid_payload local_ip=192.168.120.1 remote_ip=192.168.130.1 cookies= reason="IKE_INVALID_COOKIE"

В интернете по запросу reason="IKE_INVALID_COOKIE" только несколько просьб о помощи и никакого решения.

_________________
С уважением, Иван.
____________________________________
Скрытый текст: показать
DFL-800 - 2.27.06.10-19064
DFL-860E - 2.40.01.08-17754
  1. DFL-260E - 10.21.02.01-25332
  2. DFL-260E - 2.60.02.02-24265
  3. DFL-260E - 2.40.01.08-17758
  4. DFL-260E - 2.40.04.08-21460
Вернуться наверх
 Профиль  
 
Van Hoffen
СообщениеДобавлено: Пт янв 20, 2012 12:22 
Не в сети

Зарегистрирован: Пн янв 16, 2012 09:52
Сообщений: 32
Откуда: Saint-Petersburg
На центральном DFL-860 вот еще замечено -
Код:
2012-01-20 16:24:30   Warning RULE 6000051 Default_Rule UDP wan1 192.168.130.1 192.168.110.1 47616 30415 ruleset_drop_packet drop


На удаленном DFL-800 -
Код:
2012-01-20 17:21:14 Информация CONN 600002 IPsecBeforeRules ESP wan1 core 192.168.120.1 192.168.130.1 conn_close close conn=close connsrcid=0 conndestid=0 origsent=880 termsent=0

_________________
С уважением, Иван.
____________________________________
Скрытый текст: показать
DFL-800 - 2.27.06.10-19064
DFL-860E - 2.40.01.08-17754
  1. DFL-260E - 10.21.02.01-25332
  2. DFL-260E - 2.60.02.02-24265
  3. DFL-260E - 2.40.01.08-17758
  4. DFL-260E - 2.40.04.08-21460
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Сб янв 21, 2012 09:15 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Цитата:
На центральном DFL-860 вот еще замечено

Это к IPsec не относится

Цитата:
IKE_INVALID_COOKIE

У вас везде статические адреса? Нет динамических туннелей (в DNS или all-nets в качестве remote IP)?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Van Hoffen
СообщениеДобавлено: Сб янв 21, 2012 10:11 
Не в сети

Зарегистрирован: Пн янв 16, 2012 09:52
Сообщений: 32
Откуда: Saint-Petersburg
Огромное спасибо Vitaliy Korkunov http://forum.dlink.ru/memberlist.php?mode=viewprofile&u=81752 за помощь в настройке.
Виталий я не знаю, что такое волшебное вы сделали но сейчас все работает. В общем огромное Вам спасибо.
В общем я конечно понимаю, что скажу глупость но оно работает, только я логикой понять не могу почему оно не работало до этого. Для будущих поколений опишу мой конфиг.
Центр схождения сети работает через 2-х провайдеров. WAN1 и WAN2 к нему подключается удаленная точка IPSec VPN.
Центр (DFL-860E)
192.168.0.0/24
78.A.A.A. = WAN1
195.A.A.A = WAN2

Изображение
Создаем Addres folder - RemoteHosts_vpn
Код:
fw_msk_net = 192.168.10.0/24
fw_msk_gw = 91.B.B.B = WAN1 Удаленной точки

Изображение
Создаем Authentication Objects - fw_psk_ipsec
ИзображениеСоздаем - Interfaces - Ipsec - fw_ipsec_tunnel
Изображение
Authentication - Pre-shared Key - fw_psk_ipsec
Изображение
XAuth - Off
Изображение
Routing - все галки сняты - IP Addresses = Automatically pick the address of a local interface that corresponds to the local net
Изображение
IKE Settings -
Код:
IKE=Main
Perfect Forward Secrecy=None
Security Association=Per Net
NAT Traversal=On if supported and NATed
Dead Peer Detection=Use Dead Peer Detection (checked)

Изображение
Keep-alive=Auto
Изображение
Advanced
Код:
Automatic Route Creation=Add route for remote network (checked)
Route metric: 90


Изображение
ping_allow \ Allow \ fw_ipsec_tunnel \ 192.168.10.0/24 \ lan \ lan_ip \ all_icmp
lan_to_IPSec \ Allow \ fw_ipsec_tunnel \ fw_msk_net \ lan \ lannet \ all_services
IPSec_to_lan \ Allow \ lan \ lannet \ fw_ipsec_tunnel \ fw_msk_net \ all_services


Удаленная точка (DFL-800)
192.168.10.0/24
91.B.B.B = WAN1
Изображение
Создаем Addres folder - RemoteHosts_vpn
Код:
fw_spb_net = 192.168.0.0/24
fw_spb_gw1 = 78.A.A.A. = WAN1 Центра
fw_spb_gw2 = 195.A.A.A = WAN2 Центра
fw_spb_gw_gr = Группа объединяющая fw_spb_gw1 и fw_spb_gw2

Изображение
Создаем Authentication Objects - fw_psk_ipsec
Изображение
Создаем - Interfaces - Ipsec - fw_ipsec_tunnel (на скриншоте название немного другое, на суть не влияет)
Изображение
Authentication - Pre-shared Key - fw_psk_ipsec
Изображение
XAuth - Off
Изображение
Routing - все галки сняты - IP Addresses = Automatically pick the address of a local interface that corresponds to the local net
Изображение
IKE Settings -
Код:
IKE=Main
Perfect Forward Secrecy=None
Security Association=Per Net
NAT Traversal=On if supported and NATed
Dead Peer Detection=Use Dead Peer Detection (checked)

Изображение
Keep-alive=Auto
Изображение
Advanced
Код:
Automatic Route Creation=Add route for remote network (checked)
Route metric: 90


Изображение
Создаем каталог правил - IPSec_to_lan в нем правила -
ping_allow \ Allow \ fw_ipsec_tunnel \ 192.168.0.0/24 \ lan \ lan_ip \ all_icmp
lan_to_spb-IPSec \ Allow \ fw_ipsec_tunnel \ fw_spb_net \ lan \ lannet \ all_services
spb-IPSec_to_lan \ Allow \ lan \ lannet \ fw_ipsec_tunnel \ fw_spb_net \ all_services

_________________
С уважением, Иван.
____________________________________
Скрытый текст: показать
DFL-800 - 2.27.06.10-19064
DFL-860E - 2.40.01.08-17754
  1. DFL-260E - 10.21.02.01-25332
  2. DFL-260E - 2.60.02.02-24265
  3. DFL-260E - 2.40.01.08-17758
  4. DFL-260E - 2.40.04.08-21460
Вернуться наверх
 Профиль  
 
Van Hoffen
СообщениеДобавлено: Ср янв 25, 2012 13:46 
Не в сети

Зарегистрирован: Пн янв 16, 2012 09:52
Сообщений: 32
Откуда: Saint-Petersburg
:evil: :evil: :evil: А вот хрен, сегодня опять не работает. Пинги не ходят. Господа что делать? Посмотрите, что у меня может бытть не правильно? Куда смотреть? Где искать ошибку? Каким образом её вычленять? ГУРУ Нужна помощь!!!

_________________
С уважением, Иван.
____________________________________
Скрытый текст: показать
DFL-800 - 2.27.06.10-19064
DFL-860E - 2.40.01.08-17754
  1. DFL-260E - 10.21.02.01-25332
  2. DFL-260E - 2.60.02.02-24265
  3. DFL-260E - 2.40.01.08-17758
  4. DFL-260E - 2.40.04.08-21460
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Чт янв 26, 2012 06:06 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Необходимо оставить либо DPD, либо Keep Alive

Разрешающее пинги до DFL правило ping_allow у вас неправильное
Должно быть
Allow ipsec/remote_net core/lan_ip ping-inbound

На ваших скринах непонятно, есть ли альтернативные таблицы маршрутизации на DFL с двумя каналами и что в таблице main. Покажите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 267

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB