faq обучение настройка
Текущее время: Ср июл 09, 2025 21:30

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Ср июл 30, 2014 10:57 
Не в сети

Зарегистрирован: Пт июл 04, 2014 12:03
Сообщений: 21
Добрый день, коллеги!
просьба помочь в нахождении ошибки. задача следующая - есть DFL-1660 к которому подключено два провайдера. основной на WAN1 и резерв по WAN2. также опубликованны внутренние сервисы и настроены PBR для доступа к ним в случае отказа основного провайдера. в данную связку нужно добавить ipsec тунель между DFL и VPS(Linux). Основная задача -сделать так чтобы завернуть траффик из LAN2 в тунель и выйти наружу natом через линукс. также порт открытый на линуксе должен пробрасываться на некую машину находящуюся в lan2net.
Что было сделано:
1. для начала была вята DFL-860E и VPS. настроен ipsec. все работает, в интернет выхожу через нат на линуксе, порт пробрасывается. проблем нет.
2. переношу схему на DFL-1660. проброс порта на машину за lan2net работает. пинг с VPS до машины работает, а пинги и веб траффик с этой машины не идет. насколько я понял тут что то с маршрутизацией. скрины правил ниже
альтернативная таблица:
Вложение:
alt.JPG
alt.JPG [ 13.92 KiB | Просмотров: 3034 ]

главная:
Вложение:
main.JPG
main.JPG [ 13.15 KiB | Просмотров: 3034 ]

правила маршрутизации
Вложение:
rr.JPG
rr.JPG [ 17.47 KiB | Просмотров: 3034 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Ср июл 30, 2014 10:59 
Не в сети

Зарегистрирован: Пт июл 04, 2014 12:03
Сообщений: 21
еще правила
Вложение:
test23.JPG
test23.JPG [ 33.19 KiB | Просмотров: 3033 ]

Вложение:
test2.JPG
test2.JPG [ 35.15 KiB | Просмотров: 3033 ]

ip правила
Вложение:
ir.JPG
ir.JPG [ 22.9 KiB | Просмотров: 3033 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Пн авг 04, 2014 16:12 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
поставь после lan2net cвич и воткни (те) прямой провод от dfl, во всяком случае lan2net лучше обойти таким образом
в одну сторону все будет ходить через любимый lan2net и учитываться, а ipsec напрямую

а по хорошему - выкинуть тот лантунет нафик, купить подписку на дфл на контентную фильтрацию (и перейти на безлимитный тариф, если его еще нет), милое дело


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Пн авг 04, 2014 16:50 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
а теперь настрйоки IPsec на DFL в студию . подразуеваю там что то не ладное в датском королевстве :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Вт авг 05, 2014 11:27 
Не в сети

Зарегистрирован: Пт июл 04, 2014 12:03
Сообщений: 21
на картинках ipsec
General
Вложение:
main.JPG
main.JPG [ 36.23 KiB | Просмотров: 2986 ]


Authentication
Вложение:
auth.JPG
auth.JPG [ 34.53 KiB | Просмотров: 2986 ]

Routing
Вложение:
routing.JPG
routing.JPG [ 34.1 KiB | Просмотров: 2986 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Вт авг 05, 2014 11:32 
Не в сети

Зарегистрирован: Пт июл 04, 2014 12:03
Сообщений: 21
ike
Вложение:
ike.JPG
ike.JPG [ 33 KiB | Просмотров: 2986 ]

keep-alive
Вложение:
keep.JPG
keep.JPG [ 22.68 KiB | Просмотров: 2986 ]

advanced
Вложение:
adv.JPG
adv.JPG [ 22.44 KiB | Просмотров: 2986 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Вт авг 05, 2014 12:09 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
1 что я бы посоветовал
в роутинге снять галочку -IP aдресс автоматически там что то ... и прописать руками IP адресс удаленного шлюза ! не Remote END Point а именно шлюза .
2. убрать атоматическое создание маршрута - маршруты сделать рками два маршрута в таблице MAIN
1а - lan\lan-net remoteNet\ IPsec allservice metric 100
1b - lan\lan-net all-nets\ IPsec allservice mtnrik 110 , и расположить их в именно таком порядке .

не видя таблицу MAIN не смогу сказать в каие места поставить эти маршруты ...

ну и правила не забываем правильно писать :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Вт авг 05, 2014 13:06 
Не в сети

Зарегистрирован: Пт июл 04, 2014 12:03
Сообщений: 21
1. у меня IP адрес удаленного шлюза и IP адрес remote endpoint равны. т.к на той стороне VPS с ОДНИМ (внешним) IP адресом
2. ок. у меня remoteNet = all-nets везде 0.0.0.0/0
и про два маршрута не понятно. у нас есть интерфейс , сеть и шлюз с метрикой. а то что вы написали похоже на routing rules но без таблиц
текущая main
Вложение:
main-rt.JPG
main-rt.JPG [ 53.13 KiB | Просмотров: 2979 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Вт авг 05, 2014 13:59 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
1. хорошо скажу по другому . удаленного шлюза в вашей подсети относительно туннеля .
2. судя по таблице - у вас нормально.
значит исходящие соединения отправляйте в туннель с правилами Allow/

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec(all-nets) и nat через wan1 DFL -1660
СообщениеДобавлено: Вт авг 05, 2014 16:06 
Не в сети

Зарегистрирован: Пт июл 04, 2014 12:03
Сообщений: 21
коллеги, всем спасибо! Отдельное спасибо Александру Васильеву. решение ниже
2. ALT table
Interface-IPSEC | Network – ALL-NETS | 0
Interface-WAN1 | Network – ALL-NETS | Gateway - w1_gw 0
Interface- LAN2 | Network – lan2net | 0
MAIN table
Маршрут ipsec должен быть с наивысшей метрикой относительно wan1 и wan2
3. Routing Rules
A:
Forwar table – alt table
Return table – alt table
Lan2/lan2net – wan1/all-nets
B:
Forward table – alt table
Return table – alt table
Ipsec/all-nets - lan2/lan2net


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 333


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB