faq обучение настройка
Текущее время: Чт мар 28, 2024 23:45

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 39 ]  На страницу Пред.  1, 2, 3
Автор Сообщение
СообщениеДобавлено: Пт дек 18, 2015 17:52 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
в общем, докладаю
пинг то от клиента до dfl идеть однако ...
и маршрутизатор его принимает, соединение устанавливает
но обратно отправить его не может
мешает динамический маршрут на ip_sec канал
D 7.136.88.6 ipsec_1

в прошивках 10.хх эту галку (авто добавления маршрута в ip_sec) можно снять, но в старых без нее туннель не подключится, но для работы он не нужен (для l2tp ove r ipsec)
обойти это дело можно создав пбр руле
создаем альт таблицу с одним маршрутом wan1 all_nets, назовем ее - alt
создаем правило маршрутизации, в ём:
Forward routing table - main
Return routing table: - alt
Service: ping-inbound (например)
Source: wan1 all_nets (ну т.к. у вас все с одного ip, то можно ток его прописать)
Destination: core wan1_ip
и все должно заработать:)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 19:44 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
Спасибо, Shkiper! Наконец-то заработало!
Теперь динамический маршрут IPsec туннеля не мешает правильной маршрутизации и удаленные клиенты при поднятом L2TP на DFL-210 могут обращаться по его wan_ip.
Уточню, что в альтернативной таблице маршрутизации alt обязательно необходимо указать еще и "Gateway: wan_gw". А также в правиле маршрутизации можно поставить "Service: all_services", так как прохождение трафика регулируется через правила IP Rules.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 29, 2016 19:32 
Не в сети

Зарегистрирован: Вт мар 29, 2016 19:11
Сообщений: 5
Всем доброго дня. Есть DLINK DFL 860e. Прошивка 10.21.02.01-25329. Делаю все по инструкции - цепляется отлично с iOS, MacOS. Win7, 8, 10 никак не хочет - Ошибка 788. Машины и провайдеры разные. В логах при этом ошибка:

Info IPSEC
1802049 ipsec_sa_failed
ipsec_sa_disabled
statusmsg="No proposal chosen" reason="" local_peer="77.X.X.X:4500 ID 77.X.X.X" remote_peer="46.188.X.X:4500 ID 192.168.1.100" ike_spi_i=0x1365008271599bcf ike_spi_r=0xf4b839941d6ee538

Сравнивал этот момент с этой же стадией, но при авторизации с iOS с мегафона - обратил внимание, что в случае авторизации с телефона remote_port всегда разный, а из винды с любой машины он всегда 4500:

Info IPSEC
1800907 ipsec_sa_created
ipsec_if=IPsec local_ip=77.X.X.X remote_ip=31.173.84.241 cfgmode_ip= esp_spi_in=0x8407e0e8 esp_spi_out=0x08c76750 ike_spi_i=0x704c38fa53d4cd5a ike_spi_r=0x6ea5d1699a8dae87 esp_cipher=3des-cbc esp_cipher_keysize=192 esp_mac=hmac-sha1-96 esp_mac_keysize=160 life_seconds=3600 life_kilobytes=0 dh_group=0 dh_bits=0 local_ts="UDP 77.X.X.X:1701" remote_ts="UDP 10.211.189.25:52265"

Никаких фаэрволлов на винде нету. Игры с понижением шифрования на винде ни к чему не приводят. Результат не меняется. Куда еще можно посмотреть?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 29, 2016 19:49 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
iOS использует шифрование AES, а Windows - 3DES. Поэтому попробуйте в DFL Encryption Algorithms установить поддержку как AES, так и 3DES.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 29, 2016 19:57 
Не в сети

Зарегистрирован: Вт мар 29, 2016 19:11
Сообщений: 5
Стоит, как и в инструкции, только 3DES SHA1. С iOS проблем нет. Проблемы с виндой


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 29, 2016 20:10 
Не в сети

Зарегистрирован: Вт мар 29, 2016 19:11
Сообщений: 5
beart писал(а):
iOS использует шифрование AES, а Windows - 3DES. Поэтому попробуйте в DFL Encryption Algorithms установить поддержку как AES, так и 3DES.


Каюсь - включил AES шифрование вместе с 3DES и заработал коннект с винды. Как AES связан с виндой решительно не понимаю, но факт остается фактом о_О

СПАСИБО!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс май 16, 2021 16:46 
Не в сети

Зарегистрирован: Чт апр 13, 2017 12:16
Сообщений: 22
Sub-Zero писал(а):
Вот мой мануал по созданию сервера L2TP на NetDefendOS https://yadi.sk/i/NW1fEm98ctFVo. Делал с реально работающего L2TP сервера на DFL-1660.
Все другие мануалы которые я нашел в сети оказались полным фуфлом с неработоспособным сервером - уж простите меня авторы которые их писали...
p.s. Прошу прощения что делал так долго... очень большой загруз по работе.



теперь есть нормальная рабочая инструкция!
СПАСИБО большое!!!.. применил на dfl260e работает!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт авг 13, 2021 15:16 
Не в сети

Зарегистрирован: Пт окт 26, 2007 09:19
Сообщений: 11
Shkiper писал(а):
обойти это дело можно создав пбр руле
создаем альт таблицу с одним маршрутом wan1 all_nets, назовем ее - alt
создаем правило маршрутизации, в ём:
Forward routing table - main
Return routing table: - alt
Service: ping-inbound (например)
Source: wan1 all_nets (ну т.к. у вас все с одного ip, то можно ток его прописать)
Destination: core wan1_ip
и все должно заработать:)


Можно подробнее, что за альт таблица? Куда вилкой тыкать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 03, 2023 11:32 
Не в сети

Зарегистрирован: Чт авг 03, 2023 10:38
Сообщений: 2
Дополнение к инструкции https://yadi.sk/i/NW1fEm98ctFVo
Не забываем в первую очередь, если файрволл находится за роутером, пробросить на роутере порты
Протокол: UDP, порт 1701
Протокол: UDP, порт 500 (для IKE, для управления ключами шифрования)
Протокол: UDP, порт 4500 (для режима IPSEC NAT-Traversal)
Для клиентов Windows, как сказано в инструкции, надо использовать SHA1 в меню IPsec Algorithms и IKE Algorithms.
Если прошивка позволяет и вы не заморачиваетесь ограничениями на шифрование - в тех же меню можно использовать AES 128 - выбираете шифрование AES, все остальные варианты можно отключить.
Если хотите использовать DES - в Windows надо понизить требования к шифрованию.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)

Если ваш файрволл и клиент Windows находятся за NAT, ОБЯЗАТЕЛЬНО установить параметр AssumeUDPEncapsulationContextOnSendRule
Из интернета:

VPN ошибка 809 для L2TP/IPSec в Windows за NAT
проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.
Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.
Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.
Откройте редактор реестра regedit.exe и перейдите в ветку:
Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2
Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:
0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
1 – VPN сервер находится за NAT;
2 — и VPN сервер и клиент находятся за NAT (установить в это значение)
Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.
Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Логи при ошибке соединения смотреть D-Link DFL Traffic Counter.
Если в логах дропает по порту 1701
Warning RULE 6000051 Default_Rule UDP wan ip_of_client wan_ip 1701 1701 ruleset_drop_packet
drop
то скорее всего у вас по совету из интернета установлен ProhibitIPSec – 1 (отключает шифрование IPsec для L2TP)
установите ProhibitIPSec – 0
В PSK из-за разных кодировок в NetDefendOS и Windows использовать только цифры.
Все должно работать.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 39 ]  На страницу Пред.  1, 2, 3

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 42


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB