faq обучение настройка
Текущее время: Чт янв 21, 2021 05:38

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: DFL-870, не могу никак победить L2TP/IPsec
СообщениеДобавлено: Вт сен 22, 2020 09:45 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Добрый день.
Вожусь уже неделю. Не могу поднять L2TP/IPsec.
Прошивка 2.27.31.09-30548
Локальная сеть: 192.168.102.0/23
Внешний IP: 11.111.111.111

Делал, как написано по ссылке https://kslift.ru/dfl-nastroyka-vpn-server/
Вот скрины:
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение



При попытке подключения с удаленного компьютера с Windows 10 дает ошибку 789. При этом логах:
Изображение


Вычитал про ошибку 789 тут: https://answers.microsoft.com/ru-ru/windows/forum/all/%D0%BF%D0%BE%D0%BF%D1%8B%D1%82%D0%BA%D0%B0-l2tp/e3bc064c-9fd3-4c88-ad07-49c357d25666?auth=1. Исправил реестр, перегрузил компьютер. Ошибка исчезла, но соединение не устанавливается - думает какое-то время, а потом пишет, что не дождался ответа. В логах при этом вот что:
Изображение


То ли правила какого-то не хватает, то ли в настройках накосячил. Прошу помощи. Заранее благодарен.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 10:23 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Про ProhibitIpsec понял, что это примочка от Билайна, делающая из L2TP/Ipsec чистый L2TP. Удалил из реестра и перегрузил комп.
Понял, что вся проблема в том, что не поднимается туннель IPSec. Перепробовал разные варианты настроек - не поднимается, хоть убей.
Может все-таки подскажет кто?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 12:55 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8618
Откуда: Москва
Почему бы не обновиться до версии 12.00.13 ?
У меня работает. Правда, есть отличия в конфиге. пролистал первые 3 скрина. У меня алгоритмы 3DES, AES, Twofish, SHA, SHA256
Если я правильно помню - Win10 уже не работает с DES.

Вы же с компьютеров и телефонов хотите цепляться? Верно? Тогда Security Assiciation: должно быть per host
И еще включить User autentification: помимо MS-CHAP v2 еще и CHAP


Ну а остальное - это уже делается на клиенте винды.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 13:29 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
У меня видимо RU прошивка, а 12.00 - это видимо WW-прошивка. Я как купил девайс, прошивку не менял. А в ней априори отключено любое шифрование кроме DES.
Но если действительно win10 не работает с DES, то, видимо придется поменять прошивку. Хотя, впрочем, у меня сейчас и win7 не соединяется.

Да, цепляться хочу в основном с компьютеров. PPTP себя не очень оправдал, да и в MacOS его больше нет, так что хочу настроить L2TP. По "per host" и CHAP (плюс и просто MS CHAP) - добавлял, но эффект был тот же. Сейчас попробую еще раз, для очистки совести.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 13:48 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Сделал. эффект тот же:
Изображение
Изображение


Вот на всякий случай настройки на клиенте (ключ раза 4 проверял - совпадает).
Изображение
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 14:00 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8618
Откуда: Москва
SlimerSan писал(а):
То ли правила какого-то не хватает, то ли в настройках накосячил...
Правила то покажите!

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 14:13 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Так там выше есть.
Вот еще раз дублирую:
Изображение
Изображение
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 14:44 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8618
Откуда: Москва
SlimerSan писал(а):
Сделал. эффект тот же...
Так Вы 3DES включили? Новую прошивку накатили?

Надеюсь, не надо напоминать, что бекапы конфига и системы никто не отменял ;)


Вложения:
dfl.jpg
dfl.jpg [ 126.74 KiB | Просмотров: 804 ]

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 14:52 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Честно говоря нет, но готов сделать это.
Мне прошивку 12.00.13 взять на ftp dlink.com? (на d-link.ru есть только RU прошивка 2.27.32.05). Или ее искать надо на каких то иных сайтах?

Про бэкапы помню, но спасибо за напоминание :)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 15:18 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Там на сайте есть версия DFL-870 A1 FW v12.00.24 for WW
Может ее или рекоммендуете именно 12.00.13?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 16:06 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8618
Откуда: Москва
Да, можно и 00.24, она посвежее.
https://tsd.dlink.com.tw

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 24, 2020 16:12 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Хорошо, завтра с утра со свежими мозгами займусь и по результату отпишусь. Спасибо.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 25, 2020 07:32 
Не в сети

Зарегистрирован: Вт дек 22, 2009 12:20
Сообщений: 26
Уважаемый MTRX (извините, не знаю как Вас по имени/отчеству).
Большая Вам от меня благодарность за помощь.
Дело было действительно в 3DES. А я то надеялся победить эту проблему с помощью стандартной RU прошивки. Сидел бы еще долго такими темпами.
Конечно, еще есть косяки с маршрутизацией, но в этом я думаю разберусь. Главное дело сдвинулось с мертвой точки.
Еще раз большое Вам человеческое спасибо!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 25, 2020 17:02 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8618
Откуда: Москва
Ну вот и славно :wink:

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 20, 2021 17:36 
Не в сети

Зарегистрирован: Чт апр 10, 2014 11:50
Сообщений: 1
Приветствую.

dfl-870 прошивка 12.00.24
настраиваю всё так же, но на выходе стабильно:
Warning RULE 6000051 "Default_Rule"
UDP
wan1
ip клиента 47348
wan_ip 1701
ruleset_drop_packet
drop

галка L2TP Before Rules: - есть.
правила nat
Action: NAT
ADDRESS FILTER
Source: L2tp_tunel VPN_pool
Destination: wan1 all-nets
и allow туда-сюда есть
Source: lan1 lan1_net
Destination:L2tp_tunel VPN_pool
Source: L2tp_tunel VPN_pool
Destination: lan1 lan1_net

алгоритмы: 3DES, SHA1. ( AES, Twofish, SHA256 тоже включал )
User Authentication Rule - тоже есть. (CHAP,MS-CHAP,MS-CHAP v2)

Подскажите, что не так?
Спасибо.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 29


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB