faq обучение настройка
Текущее время: Сб фев 29, 2020 10:42

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
 Заголовок сообщения: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Чт апр 18, 2019 00:48 
Не в сети

Зарегистрирован: Чт сен 24, 2015 18:00
Сообщений: 12
Добрый день.

Имеется в распоряжении два DFL-870 с прошивками 2.27.31.09-30548 RU (соответственно Офис A и Офис B) и есть еще один идентичный аппарат, но его держим в уме (Офис C).
Между офисами A и B настроен IPSec туннель (ipsec1) для получение доступа по определенным портам в сеть офиса B.
Офис A имеет два WAN, Офис B имеет один WAN. Соответственно для офиса B в IPSec Remote Endpoint установлена IPv4 Group.
Все прекрасно работает, без потерь.

Потребовалось настроить IPSec туннель между Офисом A и Офисом C (ipsec2).
Вот тут и возникли сложности, т.к. при создании аналогичного туннеля по инструкции с сайта dlink он просто не поднимается.
По google и yandex поискал, но именно для DFL-870 ничего не нашел.
В логах полное отсутствие каких либо записей по ipsec2.
По нажатию кнопочки IKE виден только один туннель ipsec1.

Подскажите, в какую сторону "копать", возможно ли вообще копать на RU-прошивке?

Поискал по темам на форуме, похожей проблемы не нашел.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Чт апр 18, 2019 09:10 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8957
Откуда: Москва
а че настраивали ?!
как настраивали :-) Извините хрустальный шар на тех обслуживании. а ванго шлем в ремонте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Чт апр 18, 2019 21:13 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
Скриншоты показывайте

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Чт апр 18, 2019 21:52 
Не в сети

Зарегистрирован: Чт сен 24, 2015 18:00
Сообщений: 12
Цитата:
Извините хрустальный шар на тех обслуживании. а ванго шлем в ремонте
Жалко конечно, что столь полезные вещи не под рукой.

Туннель между двумя офисами (A и B) настраивали по ссылке Как настроить VPN IPsec между двумя устройствами серии DFL?. Почти под копирку - исключение составили только правила с конкретными портами и соответственно свои данные по сетям. Контрольное списывание прошло успешно.
Офис A - Remote Endpoint (Remote_ip), lan1_net (192.168.200.0/24), Remote_net (192.168.10.0/24), IKEv1, Security Association - Per Net, Pre-Shared Key, Add route statically, Route metric - 90, правила to_ipsec и from_ipsec.
Ключи DES и SHA1 на 56 бит (привет RU). Все остальное оставлено неизменным.
Офис B - все тоже самое, за исключение Remote Endpoint (Remote_ip1, Remote_ip2, т.к. в офисе A два внешних), соответственно сети поменяны местами.
Вот этот туннель прекрасно работает и пользователи наслаждаются просмотром видео через него.
Требуются ли более точные данные с учетом написанного выше?

Скриншоты офис A:
Скрытый текст: показать
Изображение Изображение Изображение Изображение Изображение Изображение Изображение Изображение Изображение


Скриншоты офиса B (только различия):
Скрытый текст: показать
Изображение Изображение


Между A и C пробовали настраивать по такой же схеме, но что-то не срослось.
Для второго туннеля также использовали туже инструкцию, с учетом создания новых ключей и соответственно связывали совершенно другие сети.
Офис C по настройкам идентичен офису B. За исключение сетей и другого внешнего ip для офиса C - Внутренняя сеть 192.168.202.0/24 Внешняя идет на lan2_net - 192.168.201.0/24. Правила для теста ставились Allow/all_nets.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Пт апр 19, 2019 11:19 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
Hedinn писал(а):
Имеется в распоряжении два DFL-870 с прошивками 2.27.31.09-30548 RU (соответственно Офис A и Офис B) и есть еще один идентичный аппарат, но его держим в уме (Офис C)...
Есть какие-то веские основания, по которым вы не можете перейти на прошивку WW ? Например, сертификация ИС, или хранение персональных данных?
Почему Вы не используете Firmware: DFL-870 A1 FW v12.00.13.05 for WW ? или хотя бы на v.11
Там с шифрованием все хорошо. )) и IKE есть v.1/v.2

И кстати, на скриншотах - "Local Endpoint" и "Source Interface" в Всшем случае надо указывать конкретный, а не any.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Пт апр 19, 2019 11:41 
Не в сети

Зарегистрирован: Чт сен 24, 2015 18:00
Сообщений: 12
MTRX писал(а):
Есть какие-то веские основания, по которым вы не можете перейти на прошивку WW ?
Этим основанием является руководство, но мы работаем в этом направлении)

MTRX писал(а):
Там с шифрованием все хорошо. )) и IKE есть v.1/v.2
Так на RU прошивке тоже дает выбрать IKE v.1/v.2 или считаете, что плохо работает?

MTRX писал(а):
И кстати, на скриншотах - "Local Endpoint" и "Source Interface" в Всшем случае надо указывать конкретный, а не any.
В данный момент работает, но спасибо за уточнение, сегодня вечерком применю данное исправление.

Замена прошивки на WW позволит решить проблему с туннелями или это какие-то капризы железки/кривые настройки?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Пт апр 19, 2019 11:53 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
Hedinn писал(а):
Замена прошивки на WW позволит решить проблему с туннелями или это какие-то капризы железки/кривые настройки?
Обратитесь к документу DFL-260E_860E_1660_2560_2560G_870_Release_Notes_for_FW_v12.00.13.pdf
Там 100 с лишним страниц.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Пт апр 19, 2019 12:08, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Пт апр 19, 2019 11:59 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8579
Откуда: Москва
https://tsd.dlink.com.tw

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 и несколько IPSec-туннелей
СообщениеДобавлено: Пт апр 19, 2019 12:11 
Не в сети

Зарегистрирован: Чт сен 24, 2015 18:00
Сообщений: 12
MTRX писал(а):
Там 100 с лишним страниц.
Ушел читать, спасибо) Прошивку на всякий случай скачал.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB