faq обучение настройка
Текущее время: Чт мар 28, 2024 11:23

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 39 ]  На страницу Пред.  1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Ср ноя 26, 2014 14:10 
Не в сети

Зарегистрирован: Вт мар 11, 2014 18:22
Сообщений: 19
Нет, не путаю. SAT правила выделил желтым.
Данная конфигурация работает, если человек сидит из LAN или WAN.
Но стоит ему поднять l2tp тоннель, например, из дома - пакеты на белый IP не идут, даже пинги. Стоит отключить тоннель - все работает корректно, как из LAN, так и из WAN.

Allow просто позволяет идти пакетам. NAT - преобразовывает в них IP-адреса.


Вложения:
1.PNG
1.PNG [ 32.2 KiB | Просмотров: 36488 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 26, 2014 14:28 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
В таком случае Вы неверно формируете правило(-а)

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 13, 2015 00:42 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
lns писал(а):
Данная конфигурация работает, если человек сидит из LAN или WAN.
Но стоит ему поднять l2tp тоннель, например, из дома - пакеты на белый IP не идут, даже пинги. Стоит отключить тоннель - все работает корректно, как из LAN, так и из WAN.


Аналогичная проблема, как ее решить на DFL, чтобы подключенные клиенты по L2TP могли также обращаться по IP сервера к другим его ресурсам, например, FTP, RDP и прочие? При активном поднятом туннеле L2TP невозможно клиентам достучаться по внешнему адресу L2TP-сервера, хотя при поднятом PPTP такой проблемы не возникает.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 11, 2015 12:50 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
beart писал(а):
lns писал(а):
Данная конфигурация работает, если человек сидит из LAN или WAN.
Но стоит ему поднять l2tp тоннель, например, из дома - пакеты на белый IP не идут, даже пинги. Стоит отключить тоннель - все работает корректно, как из LAN, так и из WAN.


Аналогичная проблема, как ее решить на DFL, чтобы подключенные клиенты по L2TP могли также обращаться по IP сервера к другим его ресурсам, например, FTP, RDP и прочие? При активном поднятом туннеле L2TP невозможно клиентам достучаться по внешнему адресу L2TP-сервера, хотя при поднятом PPTP такой проблемы не возникает.


Проблема с доступом на WAN DFL для удаленных клиентов L2TP еще не решена. Прилагаю скриншот своей таблицы маршрутизации DFL (Routing Table) при активном L2TP сервере.

Изображение

Задача в следущем: дать возможность пользователям (удаленным клиентам L2TP DFL и другим пользователям) с их одного IP 7.136.88.6 при поднятом туннеле L2TP/IPsec обращаться на внешний адрес WAN DFL (сеть 176.7.31.0/24 в таблице маршрутизации на скриншоте).

На данный момент при L2TP подключении удаленных клиентов с IP 7.136.88.6 невозможно обратиться с этого же IP 7.136.88.6 на WAN DFL и другим пользователям с этим же IP 7.136.88.6, даже тем, которые не подключены по L2TP! Т.е. проблема не в маршрутах на клиентах, а в настройках L2TP/IPsec сервера DFL.

Также для справки прилагаю скриншоты со вкладок Routing и Advanced тоннеля IPsec.

Изображение

Изображение


Вложения:
Routing Table IPsec 7.136.88.6 - IPsec Advanced.png
Routing Table IPsec 7.136.88.6 - IPsec Advanced.png [ 17.16 KiB | Просмотров: 36284 ]
Routing Table IPsec 7.136.88.6 - IPsec Routing.png
Routing Table IPsec 7.136.88.6 - IPsec Routing.png [ 27.46 KiB | Просмотров: 36284 ]
Routing Table IPsec 7.136.88.6.png
Routing Table IPsec 7.136.88.6.png [ 23.47 KiB | Просмотров: 36284 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 14, 2015 09:42 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
beart писал(а):
beart писал(а):
lns писал(а):
Данная конфигурация работает, если человек сидит из LAN или WAN.
Но стоит ему поднять l2tp тоннель, например, из дома - пакеты на белый IP не идут, даже пинги. Стоит отключить тоннель - все работает корректно, как из LAN, так и из WAN.


Аналогичная проблема, как ее решить на DFL, чтобы подключенные клиенты по L2TP могли также обращаться по IP сервера к другим его ресурсам, например, FTP, RDP и прочие? При активном поднятом туннеле L2TP невозможно клиентам достучаться по внешнему адресу L2TP-сервера, хотя при поднятом PPTP такой проблемы не возникает.


Проблема с доступом на WAN DFL для удаленных клиентов L2TP еще не решена. Прилагаю скриншот своей таблицы маршрутизации DFL (Routing Table) при активном L2TP сервере.



Дополню еще свой вопрос моими настройками IPsec туннеля для L2TP сервера.

Изображение


Вложения:
IPsec Status for L2TP.png
IPsec Status for L2TP.png [ 16.45 KiB | Просмотров: 36273 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 15, 2015 09:06 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
я решил проблему с другого конца
поднял в локалке днс сервер, где прописал зону для сайта который сидит на wan_IP (только конечно с внутренними адресами)
а при подключении к впн, указываю в настройках внутренний днс


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 15, 2015 17:00 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
Shkiper писал(а):
я решил проблему с другого конца
поднял в локалке днс сервер, где прописал зону для сайта который сидит на wan_IP (только конечно с внутренними адресами)
а при подключении к впн, указываю в настройках внутренний днс

Моя проблема при поднятом L2TP проще - блокируется доступ с удаленных клиентов на WAN DFL (на котором поднят L2TP сервер) для всех этих удаленных клиентов с ip 7.136.88.6, а не только с одного пк, который инициализировал L2TP соединение с DFL.

Так, прилагаю скриншот Log DFL: c клиента 7.136.88.6 поднят L2TP туннель на 176.7.31.14. Пинги доходят на этот порт WAN 176.7.31.14 c поднятым L2TP, но от них нет ответа и как результат - нет соединения.

Изображение

В Connections DFL: c клиента 7.136.88.6 поднят L2TP туннель на 176.7.31.14. Соединение с портом 5432 этого WAN 176.7.31.14, где поднят L2TP, теряется и переходит в состоянии SYNACK_S (с клиента 7.136.88.6 каждые 5 сек происходит попытка соединения). Пинги доходят и держатся по таймауту, но от них нет ответа.

Изображение

Изображение


Вложения:
Пинг на - 176.7.31.14 Request timed out.png
Пинг на - 176.7.31.14 Request timed out.png [ 6.62 KiB | Просмотров: 36253 ]
L2TP - пинги доходят на порт WAN c поднятым L2TP, но нет от них ответа, соединение на порт 5432 не устанавливается.png
L2TP - пинги доходят на порт WAN c поднятым L2TP, но нет от них ответа, соединение на порт 5432 не устанавливается.png [ 29.25 KiB | Просмотров: 36253 ]
L2TP - пинги доходят на порт WAN c поднятым L2TP, но нет от них ответа.png
L2TP - пинги доходят на порт WAN c поднятым L2TP, но нет от них ответа.png [ 29.28 KiB | Просмотров: 36253 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 02:18 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
beart писал(а):
Моя проблема при поднятом L2TP проще - блокируется доступ с удаленных клиентов на WAN DFL (на котором поднят L2TP сервер) для всех этих удаленных клиентов с ip 7.136.88.6, а не только с одного пк, который инициализировал L2TP соединение с DFL.

тогда надо глянуть status routes

вообще, на новой прошивке (10.22.01.04-26411 точно) внешний IP при поднятом l2tp over ipsec, пингуется


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 08:12 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
Shkiper писал(а):
beart писал(а):
Моя проблема при поднятом L2TP проще - блокируется доступ с удаленных клиентов на WAN DFL (на котором поднят L2TP сервер) для всех этих удаленных клиентов с ip 7.136.88.6, а не только с одного пк, который инициализировал L2TP соединение с DFL.

вообще, на новой прошивке (10.22.01.04-26411 точно) внешний IP при поднятом l2tp over ipsec, пингуется

Данная версия прошивки 10.22.01 только для DFL-1660/2560/2560G и DFL-260E/860E.
Мой межсетевой экран - DFL-210, для которого последння версия 2.27.08.03.


Вложения:
DFL-260E_860E_1660_2560_2560G_Release_Notes_for_FW_v10_22_01.pdf [645.44 KiB]
Скачиваний: 2021
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 08:52 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
тогда надо статус маршрутов глянуть


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 12:38 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
Shkiper писал(а):
тогда надо статус маршрутов глянуть


Изображение

Изображение

Изображение


Вложения:
DFL Console - routes -all - verbose.png
DFL Console - routes -all - verbose.png [ 13.31 KiB | Просмотров: 36231 ]
DFL Console - help routes.png
DFL Console - help routes.png [ 41.29 KiB | Просмотров: 36231 ]
DFL Console - ipsectunnels + ipsecstats.png
DFL Console - ipsectunnels + ipsecstats.png [ 6.69 KiB | Просмотров: 36231 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 03:40 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
первый маршрут ( 192.168.1.120) неправильный
какая сеть для l2tp интерфейса, а какая для lan назначена?
хде маршрут на коре l2tp интерфейса?
вот как должно быть
Код:
DFL-860E:/> route
 Command   Description
 --------  ----------------------------------------------------
 routemon  List the currently monitored interfaces and gateways
 routes    Display routing lists
DFL-860E:/> routes -all -verbose
Flags Network            Iface          Gateway         Local IP        Metric
----- ------------------ -------------- --------------- --------------- ------
DA    192.168.10.7       server_agents                                  0
      ProxyARP   : *
      Originator: PPP server interface with automatically added client routes
D     188.162.228.31     tunn_l2tp                                      0
      Originator: IPsec interface with automatically added client routes
      192.168.10.1       core           (Iface IP)                      0
      192.168.0.122      core           (Iface IP)                      0
      192.168.3.1        core           (Iface IP)                      0
      192.168.4.2        core           (Iface IP)                      0
      212.xxx.xxx.5      core           (Iface IP)                      0
      127.0.0.1          core           (Iface IP)                      0
      192.168.1.0/24     lan                                            100
      192.168.3.0/24     dmz                                            100
      192.168.0.0/24     lan                                            100
      224.0.0.0/4        core           (Iface IP)                      0
  M   0.0.0.0/0          wan1           212.xxx.xxx.1                   80
      0.0.0.0/0          wan2           192.168.4.1                     90


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 06:47 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
Изменил на настройки L2TP сервера на 192.168.10.1. Но проблема остается независимо от этого.

Код:
DFL-210:/> routes -all -verbose
Flags Network            Iface          Gateway         Local IP        Metric
----- ------------------ -------------- --------------- --------------- ------
DA    192.168.10.122     l2tp_server                                    0
      ProxyArp  : *
      Originator: PPP server interface with automatically added client routes
D     7.136.88.6         ipsec_1                                        0
      Originator: IPsec interface with automatically added client routes
      192.168.10.1       core           (Iface IP)                      0
      192.168.1.1        core           (Iface IP)                      0
      93.4.92.24         core           (Iface IP)                      0
      176.7.31.14        core           (Iface IP)                      0
      127.0.0.1          core           (Iface IP)                      0
      176.7.31.0/24      wan                                            95
      192.168.1.0/24     lan                                            100
      93.4.92.0/22       dmz                                            100
      224.0.0.0/4        core           (Iface IP)                      0
      0.0.0.0/0          wan            176.7.31.1                      95
      0.0.0.0/0          dmz            93.4.92.1                       100
DFL-210:/>


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 09:02 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
и пожалуйста расшифруй (те) фразу
beart писал(а):
блокируется доступ с удаленных клиентов на WAN DFL (на котором поднят L2TP сервер) для всех этих удаленных клиентов с ip 7.136.88.6

есть несколько клиентов с одинаковым ip?

вообще еще раз - на этой прошивке при подключении l2tp/pptp, пинг к wan_ip с подключенного компа пропадает
(я не разбирался с этим глюком, но могу покопать, под рукой как раз такая схема, с такой прошивкой)
из описания проблемы я понял, что кроме этого, доступ к wan_ip пропадает еще на других компах, так?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 13:17 
Не в сети

Зарегистрирован: Вс дек 13, 2009 00:12
Сообщений: 36
Все удаленные клиенты находятся за NAT с адресом 7.136.88.6. Но стоит одному из них поднять соединение L2TP на wan_ip (176.7.31.14), у всех клиентов с данным ip 7.136.88.6 (и у того, кто поднял туннель, и у других, кто его не поднимал) теряется связь на wan_ip. Это видно на примере с потерей ответа на пинг, хотя правило ping_wan при поднятом L2TP срабатывает и в Connections появляется соединение ICMP, которое активно все время пока есть пинг (таймаут не уменьшается, а так и остается 6 секунд).

Изображение

Замечу, что у других удаленных клиентов, которые имеют отличный от (другой) 7.136.88.6 адрес и которые не поднимают L2TP туннели, связь на wan_ip есть независимо от того, поднят ли L2TP кем-то другим или нет.

Также подключил удаленный клиент 7.136.88.6 напрямую без NAT - ситуация не поменялась и также он при поднятом L2TP теряет связь на wan_ip.


Вложения:
L2TP - Нет ответа от пинга на wan_ip при поднятом L2TP.png
L2TP - Нет ответа от пинга на wan_ip при поднятом L2TP.png [ 62.98 KiB | Просмотров: 36186 ]
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 39 ]  На страницу Пред.  1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 55


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB