1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 17:43

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 15 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
afletdinov
СообщениеДобавлено: Чт окт 03, 2013 12:37 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
по отдельности каждое соединение работает 100%.
при запуске второго ipsec ошибка такая reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"
remote-endpoint адреса разные, PSK ключи разные. единственно что их объединяет это openswan с другой стороны. firmware 2.27.05.
в чем может быть причина?
Вернуться наверх
 Профиль  
 
alex63
СообщениеДобавлено: Чт окт 03, 2013 16:07 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
А wan-интерфейс (рабочий) у Вашей DFL один?
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Чт окт 03, 2013 23:25 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
По маршрутам между IPsec нет пересечений?
Неплохо бы схемку вашей ситуации для наглядности.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Пт окт 04, 2013 02:35 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
wan интерфейс один, через динамический pppoe.
кроме этих двух у меня там же еще два ipsec с конечным оборудованием DFL800 и DFL200, но с ними проблем нет.
схема:
Код:
DFL800: 192.168.221.0/24         <->       DFL1600: 192.168.222.0/24
DFL200: 192.168.221.0/24         <->       DFL1600: 192.168.224.0/24
openswan: 10.1.2.0/24               <->       DFL1600: 10.0.0.0/16
openswan: 192.168.0.248/29     <->       DFL1600: 10.0.0.0/16


вот последние два конфликтуют между собой, из за пересечения адресов?
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Пт окт 04, 2013 04:32 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
сеть поменял, сейчас такая структура:
Код:
1. openswan: 192.168.0.248/29     <->       DFL1600: 10.0.0.0/16
2. openswan: 10.1.2.0/24               <->       DFL1600: 192.168.226.0/24


ошибка на стороне DFL1600:
ike_invalid_payload - local_ip=x.x.x.x remote_ip=x.x.x.x cookies=7cc3f1dd05c416d3713aa6e04b811735 reason="Generic payload header reserved not zero, possibly because of different pre-shared keys"

логи с openswan (2.6.32.el5_9):
Скрытый текст: показать
Код:
104 "idc-ipsec" #9: STATE_MAIN_I1: initiate
003 "idc-ipsec" #9: ignoring unknown Vendor ID payload [8f9cc94e01248ecdf147594c284b213b]
003 "idc-ipsec" #9: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
003 "idc-ipsec" #9: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
003 "idc-ipsec" #9: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
003 "idc-ipsec" #9: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] method set to=107
003 "idc-ipsec" #9: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 107
003 "idc-ipsec" #9: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] method set to=108
003 "idc-ipsec" #9: received Vendor ID payload [RFC 3947] method set to=109
106 "idc-ipsec" #9: STATE_MAIN_I2: sent MI2, expecting MR2
003 "idc-ipsec" #9: discarding duplicate packet; already STATE_MAIN_I2
003 "idc-ipsec" #9: discarding duplicate packet; already STATE_MAIN_I2
003 "idc-ipsec" #9: discarding duplicate packet; already STATE_MAIN_I2
003 "idc-ipsec" #9: discarding duplicate packet; already STATE_MAIN_I2
010 "idc-ipsec" #9: STATE_MAIN_I2: retransmission; will wait 20s for response
003 "idc-ipsec" #9: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): i am NATed
108 "idc-ipsec" #9: STATE_MAIN_I3: sent MI3, expecting MR3
003 "idc-ipsec" #9: discarding duplicate packet; already STATE_MAIN_I3
003 "idc-ipsec" #9: ignoring informational payload, type INVALID_PAYLOAD_TYPE msgid=00000000
003 "idc-ipsec" #9: received and ignored informational message
010 "idc-ipsec" #9: STATE_MAIN_I3: retransmission; will wait 20s for response


причем если я первый ipsec выключу, то этот второй соединяется без проблем. :(
и наоборот тоже самое, при включенном втором первый не соединяется...
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Пт окт 04, 2013 05:29 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
В логе openswan мелькает что он за NAT. Не находятся ли оба openswan за одним и тем же NAT?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Пт окт 04, 2013 07:06 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
Нет, они за разными организациями.
Вернуться наверх
 Профиль  
 
alex63
СообщениеДобавлено: Пт окт 04, 2013 16:03 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
У Вас у первых двух туннелей одинаковые remote network, это что, ошибка?
И как Вы привязываете туннели к локальным адресам?
У меня через PBR не работало, нужно в main однозначные (т. е. без резервирования и т. п.) маршруты к каждой remote endpoint. И на дальних концах также, исключить возможность хождения "левыми" путями.
Вообще неплохо было бы общую схему сети, не только IPSec, а несущей также.
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Пн окт 07, 2013 02:59 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
alex63 писал(а):
У Вас у первых двух туннелей одинаковые remote network, это что, ошибка?

да это ошибка, там должно быть 223/24.
alex63 писал(а):
И как Вы привязываете туннели к локальным адресам?
У меня через PBR не работало, нужно в main однозначные (т. е. без резервирования и т. п.) маршруты к каждой remote endpoint. И на дальних концах также, исключить возможность хождения "левыми" путями.
Вообще неплохо было бы общую схему сети, не только IPSec, а несущей также.

192.168. это все виртуальные адреса, я их просто создаю в справочнике (далее используется sat+nat), маршруты появляется в main автоматически т.к. используется "Dynamically add route to the remote network when a tunnel is established". Но у меня проблемы не в маршрутах а в соединении.
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Пн окт 07, 2013 07:31 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
вы не поверите друзья, но запустилось если использовать один и тот же PSK ключ в DFL на оба ipsec соединения с openswan (там также заменил), кто мне сможет объяснить почему так? это ошибка DFL <-> openswan, может как то связано с vendor id?
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Вт окт 08, 2013 02:05 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
может мне поможет какое нибудь обновление? :roll:
Вернуться наверх
 Профиль  
 
alex63
СообщениеДобавлено: Ср окт 09, 2013 09:34 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Обновиться до 2.40.xx обязательно нужно, но поможет ли... Скорее поможет исключение NAT по дороге межну Вами и удаленными узлами. Попробуйте также форсировать использование NAT-T с обеих сторон, а также проверьте, что у двух openswan разные id (не знаю подробности, не работал с openswan).
Вернуться наверх
 Профиль  
 
afletdinov
СообщениеДобавлено: Чт окт 10, 2013 12:15 
Не в сети

Зарегистрирован: Сб фев 07, 2009 11:31
Сообщений: 30
у меня DFL-1600, нету ни где для не 2.40 фирмвари. Есть для 1660 модели но это думаю разные модели.
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Чт окт 10, 2013 12:48 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Firmware:DFL-1600 ver A3 FW v2.27.07(for WW) и не выше

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
alex63
СообщениеДобавлено: Чт окт 10, 2013 12:54 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Извините за невнимательность. Да, для старых моделей 2.40 нет, но все же иногда выходят прошивки с мелкими испралениями 2.27.xx,yy, прпробуйте поставить последнюю.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 15 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 322

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB