1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 21, 2025 02:19

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Fouriki
СообщениеДобавлено: Сб фев 04, 2012 14:27 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Добрый день!
Есть DFL260 в качестве головной железки и есть несколько DI'ек, которые к ней подключаются по IPSec'у.
DFL-DI связь есть между всеми. А вот "лучи" этой звезды друг друга не видят. Копаясь, стало понятно, что DI'ка отсылает все пакеты не в сеть головного офиса (там где DFL и куда поднят IPSec) на внешку.
Прописывание на диайках маршрутов типа
192.168.11.0 255.255.255.0 192.168.0.1 и 192.168.99.0 255.255.255.0 192.168.0.1
(где 192.168.11.0/24 - сеть одной диайки, 192.168.99.0/24 - сеть второй диайки, 192.168.0.1 - ip дфлки)
ни к чему не привели - пакет просто теряется сразу за di'кой, судя по трасерту.
В Connections DFL'ки при пинге никаких ICMP пакетов не видно.

Куда копать?
Вернуться наверх
 Профиль  
 
Fouriki
СообщениеДобавлено: Сб фев 04, 2012 14:31 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Ну и еще хотелось бы прописать роут на 192.168.0.0/16 чтобы не задумываться о перенастройке остальных при добавлении "лучей@
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Сб фев 04, 2012 16:00 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Верно мыслите про подсеть
На DI указывайте remote network 192.168.0.0 / 255.255.0.0, на DFL соответственно local network 192.168.0.0/16 + разрешайте трафик между туннелями

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Fouriki
СообщениеДобавлено: Ср фев 08, 2012 05:36 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Добрый день! Поменял подсети, подключение вообще перестало устанавливаться. В логах:
Код:
2012-02-08
08:33:41    Info    IPSEC
1803021          
   
   
   ipsec_sa_statistics
done=987 success=0 failed=987
2012-02-08
08:33:41    Warning    IPSEC
1800109          
   
   
   ike_quickmode_failed
local_ip=92.50.181.14 remote_ip=77.94.122.54 cookies=e1f15fefbbc9a698796191976374c73f reason="No proposal chosen"
2012-02-08
08:33:41    Warning    IPSEC
1803020          
   
   
   ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2012-02-08
08:33:41    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Remote Proxy ID 192.168.11.0/24 any"
2012-02-08
08:33:41    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Local Proxy ID 192.168.0.0/16 any"
2012-02-08
08:33:41    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="92.50.181.14 ID 92.50.181.14" remote_peer="77.94.122.54 ID 77.94.122.54" initiator_spi="e1f15fef bbc9a698" responder_spi="79619197 6374c73f" int_severity=6
2012-02-08
08:33:41    Info    IPSEC
1800102          
   
   
   ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2012-02-08
08:33:41    Notice    IPSEC
1802300          
   
   
   rule_selection_failed
info="Quick-Mode local ID mismatch" int_severity=6
2012-02-08
08:33:41    Info    IPSEC
1803001          
   
   
   failed_to_select_policy_rule
2012-02-08
08:33:41    Warning    IPSEC
1800102          
   
   
   ipsec_event
message=" Remote Proxy ID 192.168.11.0/24 any"
2012-02-08
08:33:41    Warning    IPSEC
1800102          
   
   
   ipsec_event
message=" Local Proxy ID 192.168.0.0/16 any"
2012-02-08
08:33:41    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="92.50.181.14 ID 92.50.181.14" remote_peer="77.94.122.54 ID 77.94.122.54" initiator_spi="e1f15fef bbc9a698" responder_spi="79619197 6374c73f" int_severity=4
2012-02-08
08:33:41    Warning    IPSEC
1800102          
   
   
   ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2012-02-08
08:33:41    Info    IPSEC
1803024          
   
   
   xauth_exchange_done
statusmsg="Authentication failed"
2012-02-08
08:33:32    Warning    IPSEC
1800106          
   
   
   ike_invalid_payload
local_ip=92.50.181.14 remote_ip=77.94.122.54 cookies=e1f15fefbbc9a698796191976374c73f reason="Delete payload contains invalid protocol id"
2012-02-08
08:32:50    Info    IPSEC
1803024          
   
   
   xauth_exchange_done
statusmsg="Authentication failed"
2012-02-08
08:32:50    Info    IPSEC
1803021          
   
   
   ipsec_sa_statistics
done=986 success=0 failed=986
2012-02-08
08:32:50    Warning    IPSEC
1800109          
   
   
   ike_quickmode_failed
local_ip=92.50.181.14 remote_ip=77.94.122.54 cookies=e1f15fefbbc9a698796191976374c73f reason="Timeout"
2012-02-08
08:32:50    Warning    IPSEC
1803020          
   
   
   ipsec_sa_failed
no_ipsec_sa
statusmsg="Timeout"
2012-02-08
08:32:50    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Remote Proxy ID 192.168.11.0/24 any"
2012-02-08
08:32:50    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Local Proxy ID 192.168.0.0/16 any"
2012-02-08
08:32:50    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="92.50.181.14 ID 92.50.181.14" remote_peer="77.94.122.54 ID 77.94.122.54" initiator_spi="e1f15fef bbc9a698" responder_spi="79619197 6374c73f" int_severity=6
2012-02-08
08:32:50    Info    IPSEC
1800102          
   
   
   ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2012-02-08
08:32:41    Warning    IPSEC
1800106          
   
   
   ike_invalid_payload
local_ip=92.50.181.14 remote_ip=77.94.122.54 cookies=e1f15fefbbc9a698796191976374c73f reason="Delete payload contains invalid protocol id"


Код:
Saturday May 01, 2010 20:18:29 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:18:30 Send IKE (INFO) : delete [192.168.11.0|77.94.122.54]-->[92.50.181.14|192.168.0.0] phase 2
Saturday May 01, 2010 20:18:30 IKE phase2 (IPSec SA) remove : 192.168.11.0 <-> 192.168.0.0
Saturday May 01, 2010 20:18:30 inbound SPI = 0x8a0ae7ec, outbound SPI = 0x0
Saturday May 01, 2010 20:18:30 Send IKE Q1(QINIT) : 192.168.11.0 --> 192.168.0.0
Saturday May 01, 2010 20:18:35 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:18:40 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:18:47 Disassociated: Blocked access attempt from 159.253.132.103:80 to TCP port 11061
Saturday May 01, 2010 20:18:50 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:18:54 Disassociated: Blocked access attempt from 159.253.132.103:80 to TCP port 11039
Saturday May 01, 2010 20:19:00 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:19:20 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:19:21 Send IKE (INFO) : delete [192.168.11.0|77.94.122.54]-->[92.50.181.14|192.168.0.0] phase 2
Saturday May 01, 2010 20:19:21 IKE phase2 (IPSec SA) remove : 192.168.11.0 <-> 192.168.0.0
Saturday May 01, 2010 20:19:21 inbound SPI = 0x8b0acd43, outbound SPI = 0x0
Saturday May 01, 2010 20:19:21 Send IKE Q1(QINIT) : 192.168.11.0 --> 192.168.0.0
Saturday May 01, 2010 20:19:26 IKED re-TX : QINIT to 92.50.181.14
Saturday May 01, 2010 20:19:30 Receive IKE INFO : 92.50.181.14 --> 77.94.122.54
Saturday May 01, 2010 20:19:31 IKED re-TX : QINIT to 92.50.181.14


Что я сделал не так?
Вернуться наверх
 Профиль  
 
Fouriki
СообщениеДобавлено: Ср фев 08, 2012 05:58 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
пробовал включать XAUTH, но все равно в логах
Код:
Saturday May 01, 2010 20:43:32 IKED re-TX XAUTH to 92.50.181.14
Saturday May 01, 2010 20:43:37 IKED re-TX XAUTH to 92.50.181.14
Saturday May 01, 2010 20:43:47 IKED re-TX XAUTH to 92.50.181.14
Saturday May 01, 2010 20:43:57 IKED re-TX XAUTH to 92.50.181.14
Saturday May 01, 2010 20:44:17 IKED re-TX XAUTH to 92.50.181.14

и потом отваливается
Вернуться наверх
 Профиль  
 
Fouriki
СообщениеДобавлено: Ср фев 08, 2012 06:33 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Причем при возврате на старую маску проблема та же :shock:
Но ничего, кроме нее не менялось
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Чт фев 09, 2012 06:02 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вы там с remote endpoint не напутали?
XAuth не надо

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 492

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB