D-Link • Просмотр темы - ipsec c dynamic ip в dfl-800

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

ipsec c dynamic ip в dfl-800

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

silent_it

Заголовок сообщения: ipsec c dynamic ip в dfl-800

Добавлено: Чт авг 02, 2007 12:24

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Есть 4 тунеля, 2 с чесными айпи, 2 динамичные. С чесными проблем нет, а из динамических, соединяет только первый из списка тунелей в менеджере. В 700 проблем небыло а как быть в 800. IPsec на разных Passphrase.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 12:27

Прошивка 2.11.03? Туннели настроены по мануалу?

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 12:47

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Да

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 12:49

Покажите настройки туннелей.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 12:50

и кто клиенты.

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 13:06

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Property Value
-------------------------- --------------------------------
Index: 4
Name: BMK-ipsec
LocalNetwork: InterfaceAddresses/lannet
RemoteNetwork: IPSec/BMK-lan
RemoteEndpoint: all-nets
IKEAlgorithms: IKE-Meat
IPSecAlgorithms: IPSec-meat
IKELifeTimeSeconds: 28800
IPSecLifeTimeSeconds: 3600
IPSecLifeTimeKilobytes: 0
EncapsulationMode: Tunnel
AuthMethod: PSK (Pre-shared keying)
PSK: bmk-key
LocalIDType: Auto
XAuth: Off
DHCPOverIPSec: No
AddRouteToRemoteNet: Yes
PlaintextMTU: 1424
OriginatorIPType: LocalInterface (Local interface)
IKEMode: Main (Mainmode)

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 13:10

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Клиенты dfl - 700

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 13:17

Извните, но хотелось бы увидеть настройки ТУННЕЛЕЙ, а не одного.

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 13:23

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

- ---------- ------------------------- -------------- ---------------
1 KMK-ipsec InterfaceAddresses/lannet IPSec/KMK-lan IPSec/KMK-g
2 IFMK-ipsec InterfaceAddresses/lannet IPSec/IFMK-lan IPSec/ifmk-g
3 VMK-ipsec InterfaceAddresses/lannet IPSec/VMK-lan all-nets
4 BMK-ipsec InterfaceAddresses/lannet IPSec/BMK-lan all-nets
Все остальное одинаково, только
у каждого свой PSK
И метрика в 1,2 - 90, в 3,4 - 80

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 13:26

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Может я не понял, тогда подскажите какую категорию show в ssh соединении, использовать?

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 14:01

Всё правльно, просто Вы привели index 4, а хотелось бы и index 3
show Interface IPSecTunnel <index>

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 14:06

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Index: 3
Name: VMK-ipsec
LocalNetwork: InterfaceAddresses/lannet
RemoteNetwork: IPSec/VMK-lan
RemoteEndpoint: all-nets
IKEAlgorithms: IKE-Meat
IPSecAlgorithms: IPSec-meat
IKELifeTimeSeconds: 28800
IPSecLifeTimeSeconds: 3600
IPSecLifeTimeKilobytes: 0
EncapsulationMode: Tunnel
AuthMethod: PSK (Pre-shared keying)
PSK: vmk-key
LocalIDType: Auto
XAuth: Off
DHCPOverIPSec: No
AddRouteToRemoteNet: Yes
PlaintextMTU: 1424
OriginatorIPType: LocalInterface (Local interface)
IKEMode: Main (Mainmode)

Index: 4
Name: BMK-ipsec
LocalNetwork: InterfaceAddresses/lannet
RemoteNetwork: IPSec/BMK-lan
RemoteEndpoint: all-nets
IKEAlgorithms: IKE-Meat
IPSecAlgorithms: IPSec-meat
IKELifeTimeSeconds: 28800
IPSecLifeTimeSeconds: 3600
IPSecLifeTimeKilobytes: 0
EncapsulationMode: Tunnel
AuthMethod: PSK (Pre-shared keying)
PSK: bmk-key
LocalIDType: Auto
XAuth: Off
DHCPOverIPSec: No
AddRouteToRemoteNet: Yes
PlaintextMTU: 1424
OriginatorIPType: LocalInterface (Local interface)
IKEMode: Main (Mainmode)

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 15:23

При использованиии Roaming подключения при PSK используется только одна SA, назначить 2 SA нельзя. Вот пример конфигурации туннеля:
show Interface IPSecTunnel 1(tun1)

Код:

                   Property  Value
 --------------------------  --------------------------------
                     Index:  1
                      Name:  tun1
              LocalNetwork:  InterfaceAddresses/lannet
             RemoteNetwork:  all-nets
            RemoteEndpoint:  (none)
             IKEAlgorithms:  High
           IPSecAlgorithms:  High
        IKELifeTimeSeconds:  28800
      IPSecLifeTimeSeconds:  3600
    IPSecLifeTimeKilobytes:  0
         EncapsulationMode:  Tunnel
                AuthMethod:  PSK (Pre-shared keying)
                       PSK:  ppsk
               LocalIDType:  Auto
                     XAuth:  Off
             DHCPOverIPSec:  No
       AddRouteToRemoteNet:  Yes
              PlaintextMTU:  1424
          OriginatorIPType:  LocalInterface (Local interface)
                   IKEMode:  Main (Mainmode)
                   DHGroup:  2
                       PFS:  None
                SetupSAPer:  Net (Per network)
         DeadPeerDetection:  No
              NATTraversal:  OnIfNeeded (Only if needed)
                 KeepAlive:  Disabled
                    Metric:  90
 AutoInterfaceNetworkRoute:  No
                       MTU:  1500
                  Comments:  (none)

Туннель устанавливается с двумя точками:

Код:

ipsecs -u

--- IPsec SAs:
1   IPsec Tunnel       : tun1
    Endpoints          : 192.168.1.0/24 <--> 192.168.2.0/24
    Remote gateway     : 192.168.100.92
    Protocol           : ESP: 3des-cbc hmac-md5-96
    SPI (in)           : 0xdb73ae43
    SPI (out)          : 0x7000010

    Life times:
    Kilobytes          : 4194303
    Seconds            : 3600

    NAT information:
    Local end behind NAT : No
    Remote end behind NAT: No
    Traffic statistics:
    Packets dropped    : 0
    Bytes in           : 0
    Bytes out          : 0
    Packets in         : 0
    Packets out        : 0
    Active flows       : 1
    MAC failures       : 0
    Rekeys performed   : 0

2   IPsec Tunnel       : tun1
    Endpoints          : 192.168.1.0/24 <--> 192.168.0.0/24
    Remote gateway     : 192.168.100.100
    Protocol           : ESP: aes-cbc hmac-sha1-96
    SPI (in)           : 0x4a2ab96b
    SPI (out)          : 0x822c9e90

    Life times:
    Kilobytes          : 4194303
    Seconds            : 3600

    NAT information:
    Local end behind NAT : No
    Remote end behind NAT: No
    Traffic statistics:
    Packets dropped    : 0
    Bytes in           : 520
    Bytes out          : 0
    Packets in         : 5
    Packets out        : 0
    Active flows       : 1
    MAC failures       : 0
    Rekeys performed   : 0

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 15:55

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

один пошел(тот которому сменил пароль), а второй (который работал) пишет ESP SA lookup failure

Вернуться наверх

silent_it

Заголовок сообщения:

Добавлено: Чт авг 02, 2007 16:06

Зарегистрирован: Чт авг 02, 2007 12:11
Сообщений: 13

Да, и при снятии DeadPeerDetection, и первый не хочет соединятся

Вернуться наверх

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 256

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения