D-Link • Просмотр темы - IPSec между DFL-210 и Cisco

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

IPSec между DFL-210 и Cisco

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 4 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Maxim Evseev

Заголовок сообщения: IPSec между DFL-210 и Cisco

Добавлено: Вт июн 23, 2009 08:32

Зарегистрирован: Сб ноя 15, 2008 13:39
Сообщений: 10

Есть проблема. В допофисе стоит DFL-210 в центральном Cisco, настраиваем IPSec вот настройки со стороны DFL:

Name: Tunnel
Local network: lannet
Remote Network: удаленная подсеть
Remote Endpoint: удаленная точка входа

Параметры Algorithms:

IKE Algorithm: Medium
IKE Life Time: 28800
IPSec Algorithm: Medium
IPSec Life Time: 3600

Остальное по умолчанию.
Делаю Save Activate

Через несколько минут наблюдаю вот эти логи:

2009-06-23
13:27:56 Info IPSEC
1800317
peer_is_dead
IPsec_tunnel_disabled
peer=82.хх.хх.хх

2009-06-23
13:27:56 Info IPSEC
1802708
ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x33143e0c, AH=0xbf15e598 Responder SPI "

2009-06-23
13:27:56 Warning IPSEC
1802022
ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="82.хх.хх.хх ID No Id" initiator_spi="ESP=0x33143e0c, AH=0xbf15e598"

2009-06-23
13:27:56 Warning IPSEC
1802715
event_on_ike_sa
side=Initiator msg="failed" int_severity=6

Менял многие параметры, логи остаются именно такими-же без изменений, перечитал много сообщений на форуме с этими ошибками, многие говорят что что-то делали с таблицей маршрутизации. Но что именно не известно. К тому-же, пингуя любой адрес удаленной подсети, DFL выдает такое сообщение в логах:

2009-06-23
13:29:16 Warning RULE
6000051 Default_Rule ICMP DSI
82.xx.xx.xx
195.xx.xx.xx
ruleset_drop_packet
drop
ipdatalen=36 icmptype=DEST_UNREACH unreach=PORT_UNREACH

Почему ICMP пакеты запускаются между реальными адресами точек входа? Когда они должны направлятся в туннель (пусть он и не установлен) и отваливаться с сообщением что сеть не доступна?

Рассчитываю на вашу помощь.

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Вт июн 23, 2009 08:52

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Какие у вас правила для доступа в удаленную сеть и маршрутизация на нее?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Maxim Evseev

Заголовок сообщения:

Добавлено: Вт июн 23, 2009 09:06

Зарегистрирован: Сб ноя 15, 2008 13:39
Сообщений: 10

Правила следующие:
1 Lan_to_IPSec - Allow lan lannet Tunnel IPSecnet all_services
2 IPSec_to_lan - Allow Tunnel IPSecnet lan lannet all_services

Правило маршрутизации прописалось автоматом:
Route - Tunnel IPSecnet 90 No

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Вт июн 23, 2009 11:11

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Для начала приведите настройки с которыми должна поднимать туннель cisco

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 4 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 477

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения