faq обучение настройка
Текущее время: Пт мар 29, 2024 01:55

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:01 
Не в сети

Зарегистрирован: Пн фев 05, 2018 08:53
Сообщений: 7
Доброго времени суток. Такая ситуация - есть DFL-260E, которая из филиала поднимает IPSEC туннель с центром. Работает стабильно. И есть новая DFL-870, купленная на резерв. Сконфигурированны они полностью идентично,но почему-то 870 сама тоннель поднимать не хочет. Путем проб и экспериментов выяснилось, чтоб на 870 туннель поднимается только в том случае,если ее параллельно подключить вместе с 260Е, как только 260Е устанавливает связь - то и 870 тоже. Если отключить 260Е - на 870 связь тоже обрывается. Обе они подключаются через простой модем DIR-100, который просто поднимает PPPoE. В чем может быть дело?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:04 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
в логах .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:16 
Не в сети

Зарегистрирован: Пн фев 05, 2018 08:53
Сообщений: 7
В логах следующее. Но что больше всего удивляет - на работающей DFL логи такие же,и такие же варнинги вылазят.
Скрытый текст: показать
2018-02-05
11:09:08 Info IPSEC
1803021


ipsec_sa_statistics
done=48032 success=79 failed=47953
2018-02-05
11:09:08 Warning IPSEC
1800109


ike_quickmode_failed
local_ip=192.168.30.100 remote_ip=80.80.80.100 cookies=5c8116de2204226d1927c7570392af79 reason="No proposal chosen"
2018-02-05
11:09:08 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2018-02-05
11:09:08 Info IPSEC
1800102


ipsec_event
message=" Remote Proxy ID 10.70.0.1 any"
2018-02-05
11:09:08 Info IPSEC
1800102


ipsec_event
message=" Local Proxy ID 172.16.7.1 any"
2018-02-05
11:09:08 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="192.168.30.100:4500 ID 192.168.30.100" remote_peer="80.80.80.100:4500 ID 80.80.80.100" initiator_spi="5c8116de 2204226d" responder_spi="1927c757 0392af79" int_severity=6
2018-02-05
11:09:08 Info IPSEC
1800102


ipsec_event
message="IPsec SA [Initiator] negotiation failed:"
2018-02-05
11:09:02 Info IPSEC
1803021


ipsec_sa_statistics
done=48031 success=79 failed=47952
2018-02-05
11:09:02 Warning IPSEC
1800109


ike_quickmode_failed
local_ip=192.168.30.100 remote_ip=80.80.80.100 cookies=5c8116de2204226d1927c7570392af79 reason="No proposal chosen"
2018-02-05
11:09:02 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2018-02-05
11:09:02 Info IPSEC
1800102


ipsec_event
message=" Remote Proxy ID 10.70.15.12 any"
2018-02-05
11:09:02 Info IPSEC
1800102


ipsec_event
message=" Local Proxy ID 172.16.7.0/24 any"
2018-02-05
11:09:02 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="192.168.30.100:4500 ID 192.168.30.100" remote_peer="80.80.80.100:4500 ID 80.80.80.100" initiator_spi="5c8116de 2204226d" responder_spi="1927c757 0392af79" int_severity=6
2018-02-05
11:09:02 Info IPSEC
1800102


ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2018-02-05
11:09:02 Notice IPSEC
1802300


rule_selection_failed
info="Quick-Mode local ID mismatch" int_severity=6
2018-02-05
11:09:02 Info IPSEC
1803001


failed_to_select_policy_rule
2018-02-05
11:09:02 Warning IPSEC
1800102


ipsec_event
message=" Remote Proxy ID 10.70.15.12 any"
2018-02-05
11:09:02 Warning IPSEC
1800102


ipsec_event
message=" Local Proxy ID 172.16.7.0/24 any"
2018-02-05
11:09:02 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="192.168.30.100:4500 ID 192.168.30.100" remote_peer="80.80.80.100:4500 ID 80.80.80.100" initiator_spi="5c8116de 2204226d" responder_spi="1927c757 0392af79" int_severity=4


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:28 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
рисуйте схемку .... от руки - сканер и сюда

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:33 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Прошивки какие на железках?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:38 
Не в сети

Зарегистрирован: Пн фев 05, 2018 08:53
Сообщений: 7
Схема простая как 3 копейки
Скрытый текст: показать
Изображение

Прошивки:
260Е - 2.27.02.14-14549 RU
870 - 11.10.01.06 WW


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:46 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
А если поставить 870 без 260 - у него будет просто выход в интернет?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 09:51 
Не в сети

Зарегистрирован: Пн фев 05, 2018 08:53
Сообщений: 7
MTRX писал(а):
А если поставить 870 без 260 - у него будет просто выход в интернет?


Интернет,да,работает. Проблема именно в IPSEC.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 11:32 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
ну а роутит этот DIR 100 ?
понимаете на что я намекаю ?! NAT ?! :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 11:36 
Не в сети

Зарегистрирован: Пн фев 05, 2018 08:53
Сообщений: 7
Понимаю, но они обе то подключены к DIR-100, и при этом 260 работает стабильно. А 780 только вместе с 260, при чем тут может быть нат? на самом роутере никаких правил,никаких маршрутов не прописано. Только PPPoE и все.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 11:57 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
так . давайте так
напишите
Интерфейс - адрес
И так с каждого DFL , интимные подробности типа белых IP можно замазать .

и кто поднимает PPOE . не ДИР 100

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 12:22 
Не в сети

Зарегистрирован: Пн фев 05, 2018 08:53
Сообщений: 7
DIR100 поднимает PPPoE. У него ip локальный 192.168.30.88
DFL 260E:
Ethernet
wannet - 255.255.255.0/24
wan_ip - 192.168.30.100
wan_gateway - 192.168.30.88

IPSEC
Local Network: 172.16.7.0/24
Remote Network: 10.7.250.0/24
Remote Endpoint: 80.80.80.100
Encapsulation mode: Tunnel
Автоматическая маршрутизация выключена,все остальное - по умолчанию.

на DFL 870:
все тоже самое, только
wan_ip - 192.168.30.101


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 14:05 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
ну и как вы думаете ?
проброс портов есть ?! в частности 500 порт ?
как роутер DIR100 должен открыть таблицу NAT, что бы из-за одного белого IP были два IPSec были в один RemoteEndPoint ?
у меня такого ни когда не получалось ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 20:37 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
А DIR-100 можно просто выкинуть?
И заменить на DFL?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странность с двумя DFL и IPSEC
СообщениеДобавлено: Пн фев 05, 2018 20:42 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Нужно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 63


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB