1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт авг 19, 2025 23:37

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Blade_
СообщениеДобавлено: Пн окт 24, 2005 14:04 
Не в сети

Зарегистрирован: Пн окт 24, 2005 10:51
Сообщений: 13
Откуда: Москва
Имеем D-Link DFL-600 H/W Ver. 2A1, F/W Ver. 3.35; ISA 2004 SP1
Собираем следующуу конфиг.

Remote net 192.168.1.0/255
DFL-600 - LAN 192.198.1.1
DFL-600 - WAN xxx.xxx.xxx.xxx (public)
IPSec
ISA 2004 WAV yyy.yyy.yyy.yyy (public)
IAS 2004 LAN 10.aaa.aaa.aaa

Никаких проблем. Все бегает. Усложняем, встраивая NAT-сервер арендодателя

Remote net 192.168.1.0/255
DFL-600 - LAN 192.198.1.1
DFL-600 - WAN 192.198.0.5
IPSec
NAT-сервер LAN 192.168.0.1
NAT-сервер WAN xxx.xxx.xxx.xxx (public)
IPSec
ISA 2004 WAV yyy.yyy.yyy.yyy (public)
IAS 2004 LAN 10.aaa.aaa.aaa

Таким образом IPSec устанавливается через NAT-соединение

Получаем следующее:
1. IPSec поднят;
2. Пинг из Remote net не идет на yyy.yyy.yyy.yyy (public) и 10.aaa.aaa.aaa, но идет на xxx.xxx.xxx.xxx (public) и все другие внешние хосты (кроме указанных).
3. В статусе IPSec (DFL-600) видно, что пакеты отправляются, но не один пакет не приходит.

Народ, в чем загвоздка? Возможна ли такая работа IPSec вообще?
Вернуться наверх
 Профиль  
 
Blade_
 Заголовок сообщения: ???
СообщениеДобавлено: Пн окт 24, 2005 15:48 
Не в сети

Зарегистрирован: Пн окт 24, 2005 10:51
Сообщений: 13
Откуда: Москва
Господа, а куда делся пост, с ответом, в котором был ответ о невозможности такого соединения и пост с вопросом - почему???
Вернуться наверх
 Профиль  
 
Гость
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 24, 2005 15:50 
1. Это
Цитата:
2. Пинг из Remote net не идет на yyy.yyy.yyy.yyy (public) и 10.aaa.aaa.aaa, но идет на xxx.xxx.xxx.xxx (public) и все другие внешние хосты (кроме указанных).

наводит на мысль, что у Вас ошибка в конфигурации: по всей видимости трафик на WAN интерфейс ISA "заворачивается" в туннель, хотя он должен идти без криптования (криптоваться должен только трафик LAN-LAN).
2. Вы уверены, что данный NAT умеет работать с ESP (AH)?
3. Какие сети (ip адреса) у Вас указаны в свойствах IPSEC туннеля для DFL и ISA? Интересуют значения:
1. remote gateway
2. local subnet
3. remore subnet
Вернуться наверх
  
 
Blade_
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 24, 2005 16:22 
Не в сети

Зарегистрирован: Пн окт 24, 2005 10:51
Сообщений: 13
Откуда: Москва
NAT на w2003 sp1

настройки:
DFL-600
LAN: 192.168.1.1 / 255.255.255.0
WAN: 192.168.0.5 / 255.255.255.0 / DG 192.168.0.1
Termination IP: yyy.yyy.yyy.yyy
Starting Target Host: 10.aaa.aaa.0 / Subnet Mask 255.255.255.0

ISA 2k4
LAN 10.aaa.aaa.0 - 10.aaa.aaa.255
WAN yyy.yyy.yyy.yyy
Remote VPN gateway: xxx.xxx.xxx.xxx
Address Range 192.168.1.0-192.168.1.255

Вроде ничего не забыл..
Вернуться наверх
 Профиль  
 
Гость
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 24, 2005 17:10 
Blade_ писал(а):
NAT на w2003 sp1

настройки:
DFL-600
LAN: 192.168.1.1 / 255.255.255.0
WAN: 192.168.0.5 / 255.255.255.0 / DG 192.168.0.1
Termination IP: yyy.yyy.yyy.yyy
Starting Target Host: 10.aaa.aaa.0 / Subnet Mask 255.255.255.0

ISA 2k4
LAN 10.aaa.aaa.0 - 10.aaa.aaa.255
WAN yyy.yyy.yyy.yyy
Remote VPN gateway: xxx.xxx.xxx.xxx
Address Range 192.168.1.0-192.168.1.255

Вроде ничего не забыл..

а есть возможность снифеером посмотреть трафик между:
1. LAN и 10.a.a.a. сетью ISA сервера.
2. ISA и NAT устройством (outside интерфейсом)
3. NAT и DFL-600
4. между LAN DFL-600 и сетью 192.168.1.0 во время пинга из 192.168.1.0 WAN и LAN интерфейсов ISA.
Дампы должны представлять отдельные файла формата tcpdump и сниматься в одно и то же время.

Пришлите также конфиг-файл DFL-600, пожалуйста.
Вернуться наверх
  
 
Blade_
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 25, 2005 11:16 
Не в сети

Зарегистрирован: Пн окт 24, 2005 10:51
Сообщений: 13
Откуда: Москва
Виктор, отправил почтой..
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 260

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB