|
[code]
Здравствуйте!
Столкнулся со следующими трудностями при работе DI-804HV:
0. Пациент
- Имя: DI-804HV
- S/N: DY1816B002358
- H/W: C2
- F/W: 1.43
1. Тест номер раз - в песочнице.
- тестовая сеть с ipsec:
192.168.0.0/20 - основная сеть (left side)
192.168.64.0/24 - сеть филиала (right side)
192.168.100.0/24 - эмуляция псевдо-интернет между сетью
филиала и основной сетью. Для нее на коммутаторе (Dlink also :) )
организован свой VLAN + port mirror для сниффинга.
Из основной сети в псевдо-нитернет торчит 192.168.100.1/24 - linux 2.6
c netfilter и родным ipsec, за которым сеть 192.168.0.0/20.
DI-804HV имеет в right side LAN адрес 192.168.64.1/24 и является
шлюзом по умолчанию для этой сети. В псевдо-интернет он прописан
как static WAN IP 192.168.100.2/24.
Маршруты в сетях прописаны как надо :), NAT не накрывает ipsec
трафик, используется только ESP. IKE работает, туннель поднимается,
сети видят друг друга - все ОК.
- фича номер раз - устройство туннелирует только трафик между сетями.
Свой трафик, источником которого оно является, идет не в ipsec.
В принципе это не так страшно, но разочаровывает немного :(
На Linux box воткнутый на место DI-804 можно поднять дополнительные
туннели с адресами 192.168.100.1<->192.168.100.2 и маской /32 и трафик
будет шифроваться весь. На DI у меня получилось завернуть в ipsec
только трафик 192.186.0.0/20<->192.186.64.0/24.
Трафик 192.168.0.0/20<->192.168.100.2/32
192.168.100.1/32<->192.168.100.2/32
192.168.64.0/24<->192.168.100.1/32
192.168.100.2/32<->192.168.100.1/32
не уходит в туннель, даже при определении соответствующих правил.
В тоже время, если заменить DI-804 на linux box 2.6 дописывание
соответствующих SPD позволяет инкапсулировать в ipsec ВЕСЬ описанный
выше трафик. Но это параноидальная лирика... Работать можно и так.
- это были лабораторные испытания в песочнице, которые показали, что
устройство таки шифрует трафик и нормально работает с открытыми
имплементациями ipsec в виде vanilla kernel 2.6.>18 ;)
2. Как все было устроено:
- (a) 192.168.64.0/27 - cеть объекта (right side)
- (b) 192.168.1.0/24 - cеть дома (right side)
- (а) провайдер на объекте - региональный филиал ОАО Центртелеком
- (b) провайдер дома - региональный филиал ОАО Центртелеком
- (а) доступ до провайдера на объекте - dynamic PPPoE + публичный IP
- (b) доступ до провайдера дома - dynamic PPPoE + серый IP
- (a) физика на объекте - ADSL 256/128 down/up (модуляцию не помню, но могу уточнить_
- (b) физика дома - ADSL2+ mulimode 20M/2M down/up
- (a) каналообазующее оборудование на объекте - Zyx ADSL LAN EE
- (b) каналообазующее оборудование дома - Dlink DSL-500Т
- (a) на объекте Zyx ADSL LAN EE в режиме router соединяется c провайдером по PPPoE и все работает
- (b) дома DSL-500T в режиме router соединяется c провайдером по PPPoE и все работает
3. Включаем DI-804 шлюзом, модем переводим в bridge:
- (a) Zyx ADSL LAN EE: Encap:RFC1483/LLC VPI/VCI как и в режиме router
- (b) Dlink DSL-500Т: то же самое
- (a) Zyx ADSL LAN EE: физика есть - PDU и отправляются и принимаются
- (b) Dlink DSL-500Т: то же самое
- (a) Zyx ADSL LAN EE: не удается установить PPPoE, инициатором которого является DI-804:
Thu Jan 26 00:12:12 2006 DOD:triggered internally
Thu Jan 26 00:12:12 2006 PPPoE start to dial-up
Thu Jan 26 00:12:12 2006 PADI sent les
Thu Jan 26 00:12:12 2006 PADO recv 0016 LES-ATS73
Thu Jan 26 00:12:12 2006 PADR sent
Thu Jan 26 00:12:12 2006 PADR sent
Thu Jan 26 00:12:12 2006 PADR sent
и все....
- (b) Dlink DSL-500Т: аналогично
Thu Jan 26 00:10:59 2006 Restarted by 192.168.64.99
Thu Jan 26 00:12:12 2006 DOD:triggered internally
Thu Jan 26 00:12:12 2006 PPPoE start to dial-up
Thu Jan 26 00:12:12 2006 PADI sent les
Thu Jan 26 00:12:12 2006 PADO recv 0016 LES-ATS73
Thu Jan 26 00:12:12 2006 PADR sent
Thu Jan 26 00:12:12 2006 PADS recv 8002 0AAE
Thu Jan 26 00:15:20 2006 PPP3: retry fail
4.ОБА МОДЕМА РАЗНЫХ ПРОИЗВОДИТЕЛЕЙ СОЕДИНАЮТСЯ С ПРОВАЙДЕРОМ
БЕЗ ПРОБЛЕМ!
- Что не так с PPPoE в DI-804HV, где посмотреть детальные логи?
PS: Пошел читать доки по PPPoE...
[/code]
|
Вход
Регистрация
FAQ
Поиск
