faq обучение настройка
Текущее время: Чт дек 05, 2019 23:00

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Чт ноя 21, 2019 15:21 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Пытаюсь настроить второй l2tp сервер на d-link dfl 860e. Первый поднят на внешнем интерфейсе и с ним проблем не возникает. Клиенты подключаются и работают.
Второй l2tp сервер нужен на устройстве чтобы разделять ресурсы для пользователей внутренней сети. Идея следующая, есть три локальные сети на интерфейсах lan, wan2 и dmz (wan1 настроен на доступ в интернет). Пользователи сетей wan2 и dmz имеют доступ в интернет, но не имеют доступа к сети lan. Пользователи сети lan не имеют доступа в интернет, т.к. там крутиться специальное ПО. В обычных условиях пользователи сетей wan2 и dmz не должны видеть ресурсы локальной сети lan, но бывает необходимость запустить ПО сети lan, но так чтобы пользователи сетей wan2 и dmz в момент подключения к сети lan не имели доступа в интернет. Для этого решил использовать настройку правил с дополнительного программного интерфейса сервера l2tp (клиенты локальной сети подключаются по vpn к маршрутизатору, и там и можно то чего нельзя в обычных условиях). Для интернета уже поднят свой сервер l2tp с ipsec (там все работает как положено). Второй такой сервер пытаюсь поднять на интерфейсе wan2 (настроен и второй ipsec и сервер поднят, и база данных локальная создана, в общем все по образу и подобию l2tp сидящего на интерфейсе wan1), но не работает. Сначала drop(ало) все пакеты идущие на интерфейс wan2 по локальной сети по порту 1701. Разрешил пока все с локальной сети wan2 на core. Запуталась в маршрутах. Чего те ей не хватает. Или мне для понимания. :D Прошу помощи. Как поднять второй l2tp сервер для моей задачи?


2019-11-20
15:28:12 Notice RULE
6000060 LocalUndelivered UDP wan2
192.168.1.201
192.168.1.254 1701
1701 unhandled_local
drop
ipdatalen=117 udptotlen=117
2019-11-20
15:28:08 Notice RULE
6000060 LocalUndelivered UDP wan2
192.168.1.201
192.168.1.254 1701
1701 unhandled_local
drop
ipdatalen=117 udptotlen=117
2019-11-20
15:28:06 Notice RULE
6000060 LocalUndelivered UDP wan2
192.168.1.201
192.168.1.254 1701
1701 unhandled_local
drop
ipdatalen=117 udptotlen=117
2019-11-20
15:28:05 Notice RULE
6000060 LocalUndelivered UDP wan2
192.168.1.201
192.168.1.254 1701
1701 unhandled_local
drop
ipdatalen=117 udptotlen=117
2019-11-20
15:28:05 Info CONN
600001 in-core-l2tp-wan2 UDP wan2
core 192.168.1.201
192.168.1.254 1701
1701 conn_open


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 21, 2019 16:40 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Работа серверов L2TP связана с порядком туннелей ipsec. Поднял вверх созданный туннель для второго сервера L2TP и с внутренней сети WAN2 удалось подключиться. Однако нельзя стало подключиться с внешней сети к серверу L2TP, который на первом интерфейсе. Это что за фокусы?
Да, ошибка в логе по порту 1701 сыплется когда ключ в реестре создал "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v ProhibitIpSec /t REG_DWORD /d 1 /f, но вообще вроде как он не нужен, т.к. винда при нормально работающем сервере L2TP на шлюзе и так создает VPN. Если ключ не прописать, то по порту 500 создается коннект, но дальше молчок. Ни ошибок в логах, ни соединения поднятого VPN.
Кто-нибудь помочь может?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 21, 2019 19:55 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8559
Откуда: Москва
Показывайте настройки ipsec ов

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:40 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Настройки ipsec в картинках.
Всего определено два ipsec туннеля.
Вложение:
Комментарий к файлу: all ipsec
all ipsec.jpg
all ipsec.jpg [ 253.15 KiB | Просмотров: 666 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:43 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Тот который верхний (ipsec-tunnel-lan), находиться на внешнем интерфейсе wan1. Этот интерфейс (WAN1) направлен в сторону интернета и подключения к серверу l2tp происходят.
Вложение:
Комментарий к файлу: 1-ipsec-tunnel-lan
1-ipsec-tunnel-lan.jpg
1-ipsec-tunnel-lan.jpg [ 125.76 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 2-ipsec-tunnel-lan
2-ipsec-tunnel-lan.jpg
2-ipsec-tunnel-lan.jpg [ 115.72 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 3-ipsec-tunnel-lan
3-ipsec-tunnel-lan.jpg
3-ipsec-tunnel-lan.jpg [ 86.88 KiB | Просмотров: 666 ]


Последний раз редактировалось reteil51 Пт ноя 22, 2019 08:47, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:44 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Вложение:
Комментарий к файлу: 4-ipsec-tunnel-lan
4-ipsec-tunnel-lan.jpg
4-ipsec-tunnel-lan.jpg [ 106.89 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 5-ipsec-tunnel-lan
5-ipsec-tunnel-lan.jpg
5-ipsec-tunnel-lan.jpg [ 106.23 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 6-ipsec-tunnel-lan
6-ipsec-tunnel-lan.jpg
6-ipsec-tunnel-lan.jpg [ 96.22 KiB | Просмотров: 666 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:45 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Вложение:
Комментарий к файлу: 7-ipsec-tunnel-lan
7-ipsec-tunnel-lan.jpg
7-ipsec-tunnel-lan.jpg [ 72.97 KiB | Просмотров: 666 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:52 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Второй туннель (IPsec-Tunnel-Wan2) направлен на в сторону локальной сети (интерфейс WAN2). Клиенты ко второму серверу l2tp на интерфейсе локальной сети wan2 подключиться не могут. Но когда IPsec-Tunnel-Wan2 делаю первым в списке, из инета клиенты подключиться уже не могут, а с внутренней сети за милую душу.
Вложение:
Комментарий к файлу: 1-IPsec-Tunnel-Wan2
1-IPsec-Tunnel-Wan2.jpg
1-IPsec-Tunnel-Wan2.jpg [ 127.38 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 2-IPsec-Tunnel-Wan2
2-IPsec-Tunnel-Wan2.jpg
2-IPsec-Tunnel-Wan2.jpg [ 114.75 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 3-IPsec-Tunnel-Wan2
3-IPsec-Tunnel-Wan2.jpg
3-IPsec-Tunnel-Wan2.jpg [ 86.9 KiB | Просмотров: 666 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:53 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Вложение:
Комментарий к файлу: 4-IPsec-Tunnel-Wan2
4-IPsec-Tunnel-Wan2.jpg
4-IPsec-Tunnel-Wan2.jpg [ 112.11 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 5-IPsec-Tunnel-Wan2
5-IPsec-Tunnel-Wan2.jpg
5-IPsec-Tunnel-Wan2.jpg [ 104.07 KiB | Просмотров: 666 ]

Вложение:
Комментарий к файлу: 6-IPsec-Tunnel-Wan2
6-IPsec-Tunnel-Wan2.jpg
6-IPsec-Tunnel-Wan2.jpg [ 94.45 KiB | Просмотров: 666 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 08:55 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Вложение:
Комментарий к файлу: 7-IPsec-Tunnel-Wan2
7-IPsec-Tunnel-Wan2.jpg
7-IPsec-Tunnel-Wan2.jpg [ 73.43 KiB | Просмотров: 666 ]

Прошу просветить знающих. Может какие маршруты надо прописать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 09:45 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8559
Откуда: Москва
1. Что Вас держит на прошивке 2.40? Уже есть и v.11 и v.12
2. Укажите в настройках тоннеля Local Endpoint и интерфейс, ибо они у вас разные для тоннелей. Тогда тоннели не будут конкурировать.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 15:17 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Эта прошивка была подобрана еще в седом 2012 году, и без нее не мог поднять L2TP. Работает - руками не трогай. Поэтому и не менял. Если дадите ссылку на корректно работающую прошивку для dfl 860E более стабильную со всеми работающим функциями - буду благодарен.

" Укажите в настройках тоннеля Local Endpoint и интерфейс, ибо они у вас разные для тоннелей. Тогда тоннели не будут конкурировать." Извиняюсь за тупой вопрос - где указать, в ipsec такой настройки не вижу. Посмотрю конечно еще, может прошивку поменять и надо, или выспаться.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 22, 2019 15:54 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8559
Откуда: Москва
https://tsd.dlink.com.tw

На прошивке 11 это точно работает. В ней и выше - есть эти поля.
Но конечно бэкапы никто не отменял.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб ноя 23, 2019 12:40 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Буду пробовать, но уже после выходных. Отпишусь по результату.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб ноя 23, 2019 13:32 
Не в сети

Зарегистрирован: Ср дек 16, 2009 09:50
Сообщений: 20
Старшновато прошивать 11(12) прошивкой. Кто переходил? Все нормально прошло? Настройки пришлось править? Заработало?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB