faq обучение настройка
Текущее время: Чт мар 28, 2024 09:32

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 39 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Вс ноя 23, 2014 20:49 
Не в сети

Зарегистрирован: Сб окт 25, 2014 10:24
Сообщений: 34
Вот мой мануал по созданию сервера L2TP на NetDefendOS https://yadi.sk/i/NW1fEm98ctFVo. Делал с реально работающего L2TP сервера на DFL-1660.
Все другие мануалы которые я нашел в сети оказались полным фуфлом с неработоспособным сервером - уж простите меня авторы которые их писали...
p.s. Прошу прощения что делал так долго... очень большой загруз по работе.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн ноя 24, 2014 13:04 
Не в сети

Зарегистрирован: Вт мар 11, 2014 18:22
Сообщений: 19
"в который пропишем ip адрес сервера L2TP" - а если сам DFL должен играть роль L2TP-сервера? Тогда будет lan_ip?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн ноя 24, 2014 19:58 
Не в сети

Зарегистрирован: Сб окт 25, 2014 10:24
Сообщений: 34
lns писал(а):
а если сам DFL должен играть роль L2TP-сервера? Тогда будет lan_ip?

На самом деле получается без разницы какой именно адрес вы укажете в l2tp-serv в качестве Inner IP Address - я пробовал и созданный l2tp-serv_ip и lan1_ip - результат после l2tp соединения всегда одинаков :) см. картинку...Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 25, 2014 11:00 
Не в сети

Зарегистрирован: Вт мар 11, 2014 18:22
Сообщений: 19
Настроил l2tp по вашей инструкции, все отлично, за исключением небольшого момента.
При подключении клиента (стоит флажок "Использовать шлюз в удаленной сети" и минимальная метрика, чтобы весь трафик заворачивался в тоннель) не удается получить доступ к ресурсам, размещенным при помощи SAT на wan-интерфейсе.
Внешний IP даже пинговаться не пингуется.
Как это исправить?
Делал все по вашим настройкам.
Вложение:
Снимок.PNG
Снимок.PNG [ 36.19 KiB | Просмотров: 35769 ]

Отклонение от нее единственное - сделал дополнительно правило, позволяющее обращаться к админке dfl из тоннеля.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 25, 2014 16:40 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
ищем по форуму
NATLOOPBACK.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 25, 2014 17:10 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Vladimir22 писал(а):
ищем по форуму NATLOOPBACK.

У меня в картинках 2 правила были: viewtopic.php?p=873935#p873935
Логику поймете, а дальше "доработаете напильником" под себя. У Вас изменится только SourceInterface и SourceNetwork.

Володь, разумеется это не тебе... ;-)

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 25, 2014 20:18 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Игорь . у меня целая подборка всего необходимого с форума . и эти правила два прям как отчий наши стоят в первых рядах .
это третье что я делаю после подьема любого DFL.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 25, 2014 23:41 
Не в сети

Зарегистрирован: Вт мар 11, 2014 18:22
Сообщений: 19
MTRX, NAT Loopback у меня используется. Для каждого SAT и allow правила, есть два правила nat loopback (sat и allow).
При простом обращении из ЛВС к сервисам, опубликованным на wan, все работает.
Но, если это делается из под тоннеля - начинаются проблемы.
Притом, из-под pptp-тоннеля - и пингуется, и трафик идет.
Набор правил для pptp такой.
Вложение:
Снимок.PNG
Снимок.PNG [ 28.33 KiB | Просмотров: 35740 ]

По сути, такой же как и у l2tp IPsec.
В итоге, все отличия у них в том, для для l2tp включен IPsec. Поэтому интуиция подсказывает, что надо копать в его сторону.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 06:53 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Я что-то не вижу на скриншоте, чтобы SAT + Allow ходили парами.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 10:50 
Не в сети

Зарегистрирован: Вт мар 11, 2014 18:22
Сообщений: 19
MTRX, это набор правил для подключения по pptp. Для l2tp создан такой-же набор.
Правила для nat loopback для опубликованных служб хранятся отдельно, вот пример.
Вложение:
Снимок.PNG
Снимок.PNG [ 42.68 KiB | Просмотров: 35723 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 11:00 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
lannet = PPTP pool ? если нет .... ну как говорится и суда нет.

а вообще я завел для себя привычку проговаривать вслух правила - так они лучше воспринимаются мозгом

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 11:10 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Т.е. правильно ли я Вас понимаю, проблема в том, что клиенты, которые подключаются по L2TP не могут попасть на wan по внешнему IP?
Я корректных правил не увидел.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 12:14 
Не в сети

Зарегистрирован: Вт мар 11, 2014 18:22
Сообщений: 19
MTRX, именно.
Сейчас сделал Interface Group lan_l2tp из lan и l2tp, и во всех правилах заменил lan на lan_l2tp (так как юзер не должен чувствовать разницы между работой из l2tp и lan). lannet - 192.168.0.0\16, l2tppool - 192.168.254.1-192.168.254.253
В правилах nat loopback - также заменил. Пока не помогает.
Вложение:
1.PNG
1.PNG [ 40.32 KiB | Просмотров: 35711 ]

Вложение:
3.PNG
3.PNG [ 25 KiB | Просмотров: 35711 ]

Вложение:
4.PNG
4.PNG [ 35.98 KiB | Просмотров: 35711 ]


P.S. (извиняюсь за "непонятливость", первый раз довелось работать с устройством DFL)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 12:35 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
посмотрите логи . может там ответ найдется ... только не надо портянки класть сюда

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 13:36 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
У меня складывается впечатление, что Вы ошибочно вместо SAT + Allow пишите правила NAT + Allow

Кстати, Вы различаете разницу между действием NAT и Allow ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 39 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot], Projector123 и гости: 14


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB