1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 09:30

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
cgb
 Заголовок сообщения: DFL-800 и парочка DI-808HV (IPSec)
СообщениеДобавлено: Ср апр 09, 2008 14:30 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Доброго времени суток.

Есть DFL-800 (центр) и два DI-808HV (филиал1 и филиал2).

(филиал1):
WAN - Dynamic PPPoE
LAN - 10.1.1.0/24

(филиал2):
WAN - PPTP Static IP.
После подключения PPTP присваивается реальный IP .
LAN - 192.168.0.0/24

DFL-800 :
Настройки интерфейсов:

(филиал1_ipsec):
LocalNetwork RemoteNetwork RemoteEndpoint
lannet all-nets none

(филиал2_ipsec):
LocalNetwork RemoteNetwork RemoteEndpoint
lannet 192.168.0.0/24 xxx.xxx.xxx.xxx - реальный ip филиала2

IP Rules:

(филиал1 ):
rule_1 Allow (филиал1_ipsec, 10.1.1.0/24) -> (core, lannet) all_services
rule_2 Allow (филиал1_ipsec, 10.1.1.0/24) -> (lan, lannet) all_services
rule_3 Allow (lan, lannet) -> (филиал1_ipsec, 10.1.1.0/24) all_services

(филиал2 ):
rule_1 Allow (филиал2_ipsec, 192.168.0.0/24) -> (core, lannet) all_services
rule_2 Allow (филиал2_ipsec, 192.168.0.0/24) -> (lan, lannet) all_services
rule_3 Allow (lan, lannet) -> (филиал1_ipsec, 192.168.0.0/24) all_services

В меню Status -> IPSec -> List all active IKE SAs появляются такие записи, касательно (филиала1):

ххх.ххх.ххх.ххх 2008-04-09 13:35:01 2008-04-09 21:35:01 3des-cbc

касательно (филиала2):

192.168.0.1 2008-04-09 14:07:38 2008-04-09 22:07:38 unknown
хxx.xxx.xxx.xxx 2008-04-09 12:19:06 2008-04-09 20:19:06 3des-cbc

Тот IKE SA, у которого не распознается алгоритм шифрования, не удаляется нажатием креста, справа от него.

Логи (читать снизу вверх):
Код:

2008-04-09
14:14:58 Info IPSEC
01800317   
 
 
 peer_is_dead
IPsec_tunnel_disabled
rev=1 peer=192.168.0.1 
2008-04-09
14:14:58 Info IPSEC
01802708   
 
 
 ike_sa_destroyed
ike_sa_killed
Bad logmsg: [2008-04-09 14:14:58] <6>FW: IPSEC: prio=1 id=01802708 rev=1 event=ike_sa_destroyed action=ike_sa_killed ike_sa= Initiator SPI ESP=0xb4113944, AH=0xbe5f910b Responder SPI
2008-04-09
14:14:58 Warning IPSEC
01802022   
 
 
 ike_sa_failed
no_ike_sa
rev=2 statusmsg="Timeout" local_peer=127.0.0.1 ID No Id remote_peer=192.168.0.1 ID No Id initiator_spi=ESP=0xb4113944, AH=0xbe5f910b 
2008-04-09
14:14:58 Warning IPSEC
01802715   
 
 
 event_on_ike_sa
 


2008-04-09
14:16:57 Info CONN
00600002 IPsecBeforeRules UDP wan1
core ххх.xxx.xxx.xxx
yyy.yyy.yyy.yyy
500 conn_close
close
rev=1 conn=close 


2008-04-09
14:14:00 Warning IPSEC
01800106   
 
 
 ike_invalid_payload
 
rev=1 local_ip=yyy.yyy.yyy.yyy remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE" 

2008-04-09
14:13:58 Info IPSEC
01803021   
 
 
 ipsec_sa_statistics
 
rev=1 done=46 success=36 failed=10 
2008-04-09
14:13:58 Info IPSEC
01802046   
 
 
 ipsec_sa_lifetime
 
rev=1 sec=3600 
2008-04-09
14:13:58 Info IPSEC
01802043   
 
 
 ipsec_sa_informal
 
rev=2 spiin=743776da spiout=63500010 alg=3des-cbc keysize= mac=hmac-md5-96 
2008-04-09
14:13:58 Info IPSEC
01802058   
 
 
 ipsec_sa_informal
 
rev=1 local_id=192.168.70.0/24 any remote_id=192.168.0.0/24 
2008-04-09
14:13:58 Info IPSEC
01802703   
 
 
 ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" initiator_spi="a0e5bf7b f663df31" 
2008-04-09
14:13:58 Info IPSEC
01802040   
 
 
 ipsec_sa_negotiation_completed
ipsec_sa_enabled
rev=2 sa=Initiator info="tunnel" local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" spi_in="ESP 
2008-04-09
14:13:57 Info IPSEC
01802703   
 
 
 ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="yyy.yyy.yyy.yyy ID yyy.yyy.yyy.yyy" remote_peer="xxx.xxx.xxx.xxx ID xxx.xxx.xxx.xxx" initiator_spi="a0e5bf7b f663df31" 
2008-04-09
14:13:57 Info IPSEC
01802024   
 
 
 ike_sa_negotiation_completed
 
rev=1 options=Initiator mode=Main Mode auth=Pre-shared keys encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800 


Подскажите, плиз, почему не работает IPSec с филиалом2?
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 09, 2008 15:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
приведите ВСЕ настройки, представленных вами данных недостаточно.
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 15, 2008 10:03 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Вот настройки неработающей связки (DFL-800 и DI-808HV) :

Настройки DI-808HV:

Method - IKE
Local Subnet: 192.168.0.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.70.0
Remote Netmask: 255.255.255.0
Remote Gateway: 213.179.xxx.xxx
Auto-reconnect - yes
DH Group - 2
Encrypt algorithm - 3DES
Auth algorithm - MD5
Life Time - 28800

Настройки DFL-800:

Интерфейс:

name: филиал2_ipsec
Local Network: lannet
Remote Network: 192.168.0.0/24
Remote Endpoint: 194.54.xxx.xxx
Encapsulation Mode: Tunnel
IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPsec Life Time: 0

Authentication:
выбран, созданный pre-shared key.

Extended Authentication (XAuth) : off

Routing:
yes - Dynamically add route to the remote network when a tunnel is established
Plaintext MTU: 1424
yes - Automatically pick the address of a local interface that corresponds to the local net

IKE Settings:
DH Group: 2
PFS: none
Security Association: per net
NAT Traversal: On if supported and NATed
no - Dead Peer Detection

Keep-alive: auto

Advanced:
no - Automatically add route for remote network

IP Rules:
rule_1 Allow (филиал2_ipsec, 192.168.0.0/24) -> (lan, lannet) all_services
rule_2 Allow (lan, lannet) -> (филиал2_ipsec, 192.168.0.0/24) all_services

Logs (читать снизу вверх):
Код:

2008-04-15
09:58:16 Info IPSEC
01800317   
 
 
 peer_is_dead
IPsec_tunnel_disabled
rev=1 peer=192.168.0.1 
2008-04-15
09:58:16 Info IPSEC
01802708   
 
 
 ike_sa_destroyed
ike_sa_killed
Bad logmsg: [2008-04-15 09:58:16] <6>FW: IPSEC: prio=1 id=01802708 rev=1 event=ike_sa_destroyed action=ike_sa_killed ike_sa= Initiator SPI ESP=0xbda1427e, AH=0x0af2f75e Responder SPI
2008-04-15
09:58:16 Warning IPSEC
01802022   
 
 
 ike_sa_failed
no_ike_sa
rev=2 statusmsg="Timeout" local_peer=127.0.0.1 ID No Id remote_peer=192.168.0.1 ID No Id initiator_spi=ESP=0xbda1427e, AH=0x0af2f75e 
2008-04-15
09:58:16 Warning IPSEC
01802715   
 
 
 event_on_ike_sa
 
rev=1 side=Initiator msg="failed" int_severity=6 


2008-04-15
09:57:16 Info IPSEC
01803021   
 
 
 ipsec_sa_statistics
 
rev=1 done=1618 success=1530 failed=88 
2008-04-15
09:57:16 Info IPSEC
01802046   
 
 
 ipsec_sa_lifetime
 
rev=1 sec=3600 
2008-04-15
09:57:16 Info IPSEC
01802043   
 
 
 ipsec_sa_informal
 
rev=2 spiin=ff0ecede spiout=693c0010 alg=3des-cbc keysize= mac=hmac-md5-96 
2008-04-15
09:57:16 Info IPSEC
01802058   
 
 
 ipsec_sa_informal
 
rev=1 local_id=192.168.70.0/24 any remote_id=192.168.0.0/24 
2008-04-15
09:57:16 Info IPSEC
01802703   
 
 
 ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="213.179.xxx.xxx ID 213.179.xxx.xxx" remote_peer="194.54.xxx.xxx ID 194.54.xxx.xxx" initiator_spi="e279a31e 45118c8a" 
2008-04-15
09:57:16 Info IPSEC
01802040   
 
 
 ipsec_sa_negotiation_completed
ipsec_sa_enabled
rev=2 sa=Initiator info="tunnel" local_peer="213.179.xxx.xxx ID 213.179.xxx.xxx" remote_peer="194.54.xxx.xxx ID 194.54.xxx.xxx" spi_in="ESP 
2008-04-15
09:57:16 Warning RULE
06000051 Default_Rule TCP wan1
 77.35.47.158
213.179.245.100 4643
6215 ruleset_drop_packet
drop
rev=1 ipdatalen=28 tcphdrlen=28 syn=1 
2008-04-15
09:57:16 Info IPSEC
01802703   
 
 
 ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="213.179.xxx.xxx ID 213.179.xxx.xxx" remote_peer="194.54.xxx.xxx ID 194.54.xxx.xxx" initiator_spi="e279a31e 45118c8a" 
2008-04-15
09:57:16 Info IPSEC
01802024   
 
 
 ike_sa_negotiation_completed
 
rev=1 options=Initiator mode=Main Mode auth=Pre-shared keys encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800


Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 15, 2008 18:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Проверяйте настройки http://www.dlink.ru/technical/faq_vpn_25.php
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 16, 2008 09:09 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Настройки проверил, все согласно мануалу, но туннель не работает.

При инициации соединения в меню Status -> IPSec -> List all active IKE SAs появляются такие записи:

192.168.0.1 2008-04-16 08:53:04 2008-04-16 16:53:04 unknown
194.54.xxx.xxx 2008-04-16 08:53:03 2008-04-16 16:53:03 3des-cbc

наверно, проблема в этом?
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 16, 2008 12:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
На той стороне прямой адрес? Или серый а провайдер NAT`ит на прямой?
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 16, 2008 12:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
cgb писал(а):
Вот настройки неработающей связки (DFL-800 и DI-808HV) :

Настройки DI-808HV:

Method - IKE
Local Subnet: 192.168.0.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.70.0
Remote Netmask: 255.255.255.0
Remote Gateway: 213.179.xxx.xxx
Auto-reconnect - yes
DH Group - 2
Encrypt algorithm - 3DES
Auth algorithm - MD5
Life Time - 28800

Настройки DFL-800:

Интерфейс:

name: филиал2_ipsec
Local Network: lannet
Remote Network: 192.168.0.0/24
Remote Endpoint: 194.54.xxx.xxx
Encapsulation Mode: Tunnel
IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPsec Life Time: 0

IPsec Life Time: не может быть равный 0
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 16, 2008 13:30 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
И на DFL, и на DI - реальные IP.
IPsec Life Time : 0 - это в kilobytes.
IPsec Life Time : 3600 seconds.
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 09:01 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Еще раз:

Кто-нить знает, почему у DFL-800`го в меню Status -> IPSec -> List all active IKE SAs появляются такие записи:

192.168.0.1 2008-04-16 08:53:04 2008-04-16 16:53:04 unknown
194.54.xxx.xxx 2008-04-16 08:53:03 2008-04-16 16:53:03 3des-cbc ???
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 09:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Цитата:
192.168.0.1 2008-04-16 08:53:04 2008-04-16 16:53:04 unknown

Тоннель не устанавливается, причин может быть множество, начиная от того что провайдер режет необходимые протоколы, заканчивая неправильной настройкой или плохим каналом.
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 14:48 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Sergey Vasiliev писал(а):
На той стороне прямой адрес? Или серый а провайдер NAT`ит на прямой?


На той стороне серый адрес и провайдер натит на прямой.
Еще провайдер клянется, что туннельные протоколы не фильтрует.
Все настройки проверил, все правильно.
PPTP туннель устанавливается, а IPSec - нет.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 16:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Попробуйте задействовать функцию NAT Traversal.
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 16:49 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Sergey Vasiliev писал(а):
Попробуйте задействовать функцию NAT Traversal.

Никаких изменений не произошло.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 17:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Со стороны DFL попробуйте произвести диагностику согласно этому документу http://www.mediafire.com/?7tjyngmn Так же убедитесь что у вас на DI последняя прошивка.
Вернуться наверх
 Профиль  
 
cgb
 Заголовок сообщения:
СообщениеДобавлено: Вт май 06, 2008 08:37 
Не в сети

Зарегистрирован: Пт фев 22, 2008 14:28
Сообщений: 19
Прошивку на DI обновил до 1.50, проблему это не решило.
А ссылка ваша, к сожалению, не работает.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 202

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB