крик души /или ламера ?
(( /
значит сейчас есть DFL-700 в головном офисе и DI-804HV в филиалах.
раньше в головном стоял тоже 804, все работало но нагрузка была уже не для него (больше 20 каналов).
и вот заменили.
проблемы начались сразу
прошивка DFL-700 - 1.33.00
У всех DI-804 прошивка - 1.42
самое удивительное что несколько каналов (первые 3) поднялись и нормально работают.
созданные же остальные по абсолютно такой же схеме последующие каналы - не работают. Вернее так:
- пингом со стороны DFL700 канал не инициализируется
- пингом со стороны DI-804 канал не инициализируется
- если на 804 нажать в вебинтерфейсе кнопку "Reconnect" то состояние канала становится: ESP tunnel IKE established
- на DFL-700 в статусе впн также появляется что канал есть
локалка за DI-804 - 192.168.103.0/24
локалка за DFL-700 - 33.0.0.0/24 (ну вот такая)
смотрим логи:
в логе 804 -
Send IKE M1(INIT) : WAN-804 --> WAN-700
Receive IKE M2(RESP) : WAN-700 --> WAN-804
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE M3(KEYINIT) : WAN-804 --> WAN-700
Receive IKE M4(KEYRESP) : WAN-700 --> WAN-804
Send IKE M5(IDINIT) : WAN-804 --> WAN-700
Receive IKE M6(IDRESP) : WAN-700 --> WAN-804
IKE Phase1 (ISAKMP SA) established : WAN-700 <-> WAN-804
Send IKE Q1(QINIT) : 192.168.103.0 --> 33.0.0.0
Receive IKE Q2(QRESP) : [33.0.0.0|WAN-700]-->[WAN-804|192.168.103.0]
Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Send IKE Q3(QHASH) : 192.168.103.0 --> 33.0.0.0
IKE Phase2 (IPSEC SA) established : [33.0.0.0|WAN-700]<->[WAN-804|192.168.103.0]
inbound SPI = 0x6000010, outbound SPI = 0x823abb00
в логе 700 -
EFW: IPSEC: prio=1 SA ESP[823abb00] alg [3des-cbc/24]+hmac[hmac-md5-96] bundle [469,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.103.0/24) dst=ipv4_subnet(any:0,[0..7]=33.0.0.0/24)
EFW: IPSEC: prio=1 SA ESP[06000010] alg [3des-cbc/24]+hmac[hmac-md5-96] bundle [469,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=33.0.0.0/24) dst=ipv4_subnet(any:0,[0..7]=192.168.103.0/24)
EFW: IPSEC: prio=1 Phase-2 [responder] done bundle 469 with 2 SA's by rule 38:`ipsec ipv4_subnet(any:0,[0..7]=33.0.0.0/24)<->ipv4_subnet(any:0,[0..7]=192.168.103.0/24)(gw:ipv4(any:0,[0..3]=WAN-804))'
EFW: IPSEC: prio=1 Phase-1 [responder] between ipv4(udp:500,[0..3]=WAN-700) and ipv4(any:0,[0..3]=WAN-804) done.
НО НИКАКИЕ ПИНГИ НЕ ИДУТ!!!!!!
Компы через туннель не доступны!!!
Я умаялся понимать в чем дело
Ведь в предыдущих тоннелях все нормально.
привожу настройки:
DI-804
Localnet: 192.168.103.0/24
RemoteNet: 33.0.0.0/24
Remote Gateway: WAN - DFL700
IKE:
DH Group - Group 2 | Encrypt algorithm - 3DES | Auth algorithm - MD5 | Life Time 3600 sec
IPSEC:
DH Group - Group 2 | Encap protocol - ESP | Encrypt algorithm - 3DES | Auth algorithm - MD5 | Life Time - 3600 sec
----------------------------------
DFL-700:
Localnet: 33.0.0.0/24
RemoteNet: 192.168.103.0/24
Remote Gateway: WAN-DI804
Automatically add a route for the remote network.
Limit MTU: 1424
Main IKE mode. IKE DH Group - 2 modp 1024bit
Enable Perfect Forward Secrecy
PFS DH Group - 2 modp 1024bit
NAT Traversal: On if supported and needed (NAT detected between gateways)
IKE Proposal List
#1 3DES MD5 3600sec
IPsec Proposal List
#1 3DES MD5 3600sec
----------------------------------
ну все одинаковое!
и тоннель устанавливается
а связи нет
шлюзы на компах установлены на LAN роутеров
но через тоннель но не пингуется даже LAN роутера
ДАЖЕ сами роутеры также не пингуют друг друга по внутренним интерфейсам не смотря на поднятый канал.
резетил 804 и софт и хард способами.
резетил DFL-700 софт (осталось только хард через консоль, т.к. заявленая кнопка резет - не работает)
(
уже готов выбросить DFL700 в окно и поставить обратно 804
Вход
Регистрация
FAQ
Поиск
