|
Строится сеть из центрального офиса и сетей филиалов на базе ADSL-каналов местного провайдера. Подключение к провайдеру через DSL-500T. У центра фиксированный IP, филиалы получают адреса от провайдера по DHCP. В центре сети DFL-800 (PPPoE), в филиалах DI-804HV(Dynamic PPPoE). Из филиалов поднимаю IPsec-туннель к центру. Несколько вопросов по этому поводу.
1) Все туннели работают только с одним Pre-Shared Key. Случайно обнаружил, создавая второй туннель, что он не работает. Но когда делаешь PSK, как у первого, сразу же устанавливается. Сейчас уже поднял шесть таких туннелей, и все они с одним PSK.
Вообще настраивал IPsec впервые, разбирался и проверял со своими подразделениями, которые подключены к городской оптике. Тогда таких проблем не возникло, и сейчас на интерфейсе WAN2 нормально работает три IPsec-туннеля с разными PSK. Но в этом случае wan-интерфейсы устройств непосредственно подключены к городской сети. Сейчас на WAN1 через PPPoE подключаюсь к телекому и поднимаю туннели к филиалам.
Тут возникает второй вопрос. Он именно по работе IPsec через PPPoE-соединение с провайдером
2) При настройке DI-804HV у себя в отделе IPsec-туннель поднимается нормально. Но очень часто, когда выезжаешь в подразделение, он либо не сразу устанавливается, либо, что еще чаще рушатся вообще все туннели, которые уже работают через ADSL. При этом на DFL-800 не нахожу каких-либо сообщений в логе.
Не всегда могу проконтролировать сразу, но иногда при этом DFL-800 почему-то перестает пинговать внутреннюю сеть провайдера. Но такое точно не всегда. Несколько раз отваливались IPsec-туннели сразу и на wan1, и wan2. Сегодня оставил на ночь работающие туннели. Прихожу утром, если верить DFL-800-му Status/IPsec Status все туннели живые, пробую пинговать из одной локалки другую – ни фига. Все, что через DSL не работали. Восстанавливаются либо пингом внешнего интерфейса DI-804HV с 800-го, либо звонком в филиал с просьбой выкл./вкл. DSL-500T и 804-й. Но падают бессистемно и очень часто вместе. Такое ощущение, что что-то не так в DFL-800. Или я не все правильно настроил.
Вот настройки DFL-800:
Interfaces->IPsec Tunnels
Вкладка General
Name: ipsec-upr1
Local Network: ipsec- upr1
Remote Network: upr1net
Remote Endpoint: all-nets
Encapsulation Mode: Tunnel
IKE Algorithms: High
IKE Life Time: 28800 seconds
IPsec Algorithms: High
IPsec Life Time: 3600 seconds
Вкладка Authentication
Pre-Shared Key: PSKfilials
Правила настроены как в руководстве (ftp.dlink.ru/pub/FireWall/_rus_ Virtual private network using an IPsec lan-to-lan tunnel.pdf) – all_services в обоих направлениях Allow.
Настройки VPN на DI-804HV в филиале:
Tunnel Name dfl-800
Aggressive Mode пустой чекбокс
Local Subnet 192.168.162.64
Local Netmask 255.255.255.192
Remote Subnet 192.168.8.0
Remote Netmask 255.255.255.0
Remote Gateway 212.12.30.82
IKE Keep Alive (Ping IP Address) не заполнял
Preshare Key тот же, что и на DFL-800
Auto-reconnect Enable
IKE Proposal Index 1
DH Group Group2
Encrypt algorithm 3DES
Auth algorithm MD5
Life Time 28800
Life Time Unit sec
IPSec Proposal Index
IKE Proposal Index 1
DH Group None
Encap protocol ESP
Encrypt algorithm 3DES
Auth algorithm MD5
Life Time 28800
Life Time Unit sec
К моменту написания этого сообщения все VPN’ы работают без проблем часов 7-8. Но сегодня не настраивал новых. Может кто сталкивался с похожей ситуацией и разъяснит причину непонятных падений туннелей и почему при работе через PPPoE IPsec поднимаются только с одним PSK.
|
Вход
Регистрация
FAQ
Поиск
