faq обучение настройка
Текущее время: Сб июл 19, 2025 15:42

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 14:00 
Не в сети

Зарегистрирован: Сб окт 06, 2012 11:10
Сообщений: 28
ситуация:

есть сеть 192.168.10.0/24 подключенная dfl к инету с белым ip white_ip
на ней поднят vpn ipsec принимающий соединения от клиентов с сетями 192.168.20.0/24 и 192.168.30.0/24
в адресбуке прописана группа адресов с членами группы 192.168.20.0/24 и 192.168.30.0/24
в настройках vpn ipsec эта группа указана в remote_net
а также в правилах для интерфейса vpn_ipcsec
allow allservices vpn_ipsec my_group lan lannet
allow allservices lan lannet vpn_ipsec my_group

у клиентов настроены каналы на white_ip и в группе для remote_net указаны 192.168.10.0/24 192.168.30.0/24 для 1 и 192.168.10.0/24 192.168.20.0/24 для второго

каналы устанавливаются и клиенты видят 192.168.10.0/24 и из 192.168.10.0/24 видно обоих клиентов но друг друга они не видят

то есть от 192.168.20.2 до 192.168.30.2 пинг не идет
в логах сыпятся ошибки
Warning IPSEC 1803020 ipsec_sa_failed no_ipsec_sa statusmsg="No proposal chosen"

что делать ???
прописать в правилах что то типа allow allservices vpn_ipsec my_group vpn_ipsec my_group ???


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 14:44 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
разумеется, что-то в этом духе ))

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 15:05 
Не в сети

Зарегистрирован: Сб окт 06, 2012 11:10
Сообщений: 28
YuriAM писал(а):
разумеется, что-то в этом духе ))



дали бы ссылочку на рабочий конфиг из трех dfl260e


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 15:32 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
Algileer писал(а):
YuriAM писал(а):
разумеется, что-то в этом духе ))



дали бы ссылочку на рабочий конфиг из трех dfl260e

ссылочк на конфиги не бывает ! по одной причине, что конфиги в большей степени уникальны .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 15:35 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Вы не написали, что у вас DFL. Что у вас их три. Надо учиться описывать условия полностью

http://ftp.dlink.ru/pub/FireWall/Configure%20lan-to-lan%20tunnels%20between%20a%20main%20office%20and%20two%20remote%20offices.doc

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 15:41 
Не в сети

Зарегистрирован: Сб окт 06, 2012 11:10
Сообщений: 28
Vladimir22 писал(а):
Algileer писал(а):
YuriAM писал(а):
разумеется, что-то в этом духе ))

дали бы ссылочку на рабочий конфиг из трех dfl260e

ссылочк на конфиги не бывает ! по одной причине, что конфиги в большей степени уникальны .



куда копать то ???

есть 3 dfl260e для простоты
на 1м lan=192.168.10.1 wan=10.0.0.1
на 2м lan=192.168.20.1 wan=10.0.0.2
на 3м lan=192.168.30.1 wan=10.0.0.3
второй и третий подключаются к первому ДИНАМИЧЕСКИ


Последний раз редактировалось Algileer Вс фев 02, 2014 16:31, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 15:43 
Не в сети

Зарегистрирован: Сб окт 06, 2012 11:10
Сообщений: 28
YuriAM писал(а):
Вы не написали, что у вас DFL. Что у вас их три. Надо учиться описывать условия полностью

http://ftp.dlink.ru/pub/FireWall/Configure%20lan-to-lan%20tunnels%20between%20a%20main%20office%20and%20two%20remote%20offices.doc


крутяк!!!! спасибо буду изучать сравнивать

прочитал -- в моей ситуации проблема в том что туннели динамические


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Вс фев 02, 2014 16:41 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
с динамическими тунелями всегда много проблем .
избавляйтесь от них .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Пн фев 03, 2014 16:15 
Не в сети

Зарегистрирован: Сб сен 05, 2009 20:17
Сообщений: 196
Я бы сделал с каждого на каждый тоннели.
Т.е. с
10.1>20.1
10.1>30.1
20.1>10.1
20.1>30.1
30.1>10.1
30.1>20.1

Так должно быть лучше по идее.
Хотя... на вкус и цвет, как говорится...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Клиенты vpn не видят друг друга
СообщениеДобавлено: Ср фев 05, 2014 21:56 
Не в сети

Зарегистрирован: Сб окт 06, 2012 11:10
Сообщений: 28
Итак благодаря инструкции предоставленной YuriAM все заработало.

Если можно пару своих замечаний и впечатлений

1. мне кажется что раз ipsec создает "интерфейс" то как то нелогично определения сетей которые не считаются удаленными прописывать в определении туннеля и правилах -- интерфейс определяет сеть находящуюся за ним а доступом управляют правила. Т.е. ipsec почти интерфейс но не интерфейс.

2. мне удалой поднять именно динамические туннели и понять как их заставлять работать -- в подключающихся сетях(в каждой) на серваках(или гдето еще) пинг должен постоянно простукивать всех соседей иначе при обрыве канала соседи выпавшую сеть видеть перестанут даже после возобновления подключения


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 466


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB