1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн авг 11, 2025 17:55

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
StarKite
 Заголовок сообщения: Подскажите с VPN на DI-804HV через NAT
СообщениеДобавлено: Ср июн 28, 2006 18:03 
Не в сети

Зарегистрирован: Ср июн 28, 2006 17:46
Сообщений: 7
Откуда: Moscow
Помогите разобраться:

Есть два роутера DI-804HV.
У одного прямой инет-адрес, за ним подсеть 192.168.0.х
У другого - кривой адрес (через NAT), скажем 192.168.31.124, и внутренняя подсеть 192.168.1.х.

На первом роутере я настроил динамический VPN, на втором - прописал тоннель полностью.

Аналогичная схема прекрасно работала, когда второй роутер получал динамический, но прямой IP-адрес.

А вот через NAT эта схема не работает :(

Что происходит: тоннель устанавливается. оба роутера пишут в статусе и в логе, что тоннель установлен. Но ни один из компьютеров разных подсетей не видит другого. ни по именам, ни по ИП-адресам. и даже пинг не идет. даже на адреса локальных сетей принадлежащие роутерам.

В чем может быть собака порыта?

Лог "вызывающего" роутера (из за НАТа):
Код:
Tuesday April 25, 2006 14:30:18 Send IKE A1(AINIT) : 192.168.31.124 --> 111.111.111.111
Tuesday April 25, 2006 14:30:18 Receive IKE A2(ARESP) : [111.111.111.111]-->[192.168.31.124]
Tuesday April 25, 2006 14:30:18 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Tuesday April 25, 2006 14:30:18 Send IKE A3(AHASH) : [192.168.31.124]-->[111.111.111.111]
Tuesday April 25, 2006 14:30:18 IKE Phase1 (ISAKMP SA) established : [192.168.31.124]<->[111.111.111.111]
Tuesday April 25, 2006 14:30:19 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.0.0
Tuesday April 25, 2006 14:30:19 Receive IKE Q2(QRESP) : [192.168.0.0|111.111.111.111]-->[192.168.31.124|192.168.1.0]
Tuesday April 25, 2006 14:30:19 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Tuesday April 25, 2006 14:30:19 Send IKE Q3(QHASH) : 192.168.1.0 --> 192.168.0.0
Tuesday April 25, 2006 14:30:19 IKE Phase2 (IPSEC SA) established : [192.168.0.0|111.111.111.111]<->[192.168.31.124|192.168.1.0]
Tuesday April 25, 2006 14:30:19 inbound SPI = 0x2000010, outbound SPI = 0x13000010


Лог "сервера" - роутера с прямым ИП-адресом и динамическим ВПН:
Код:
Thursday August 10, 2006 21:15:59 Receive IKE A1(AINIT) : [222.222.222.222]-->[111.111.111.111]
Thursday August 10, 2006 21:15:59 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Thursday August 10, 2006 21:15:59 Send IKE A2(ARESP) : [111.111.111.111]-->[222.222.222.222]
Thursday August 10, 2006 21:16:00 Receive IKE A3(AHASH) : [222.222.222.222]-->[111.111.111.111]
Thursday August 10, 2006 21:16:00 IKE Phase1 (ISAKMP SA) established : [111.111.111.111]<->[222.222.222.222]
Thursday August 10, 2006 21:16:00 Receive IKE Q1(QINIT) : [222.222.222.222]-->[111.111.111.111]
Thursday August 10, 2006 21:16:00 SPD : add dynamic user [192.168.0.0]<->[192.168.1.0] OK
Thursday August 10, 2006 21:16:00 Requested routing is [192.168.1.0|222.222.222.222]<->[111.111.111.111|192.168.0.0]
Thursday August 10, 2006 21:16:00 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Thursday August 10, 2006 21:16:00 Send IKE Q2(QRESP) : 192.168.0.0 --> 192.168.1.0
Thursday August 10, 2006 21:16:00 Receive IKE Q3(QHASH) : [192.168.1.0|222.222.222.222]-->[111.111.111.111|192.168.0.0]
Thursday August 10, 2006 21:16:00 IKE Phase2 (IPSEC SA) established : [192.168.1.0|222.222.222.222]<->[111.111.111.111|192.168.0.0]
Thursday August 10, 2006 21:16:00 inbound SPI = 0x13000010, outbound SPI = 0x2000010


111.111.111.111 - прямой инет-адрес роутера с динамическим ВПН
222.222.222.222 - адрес провайдерского НАТ-роутера, за которым находится вызывающий роутер с "кривым" адресом (192.168.31.124).
Вернуться наверх
 Профиль  
 
v932
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 28, 2006 18:14 
Не в сети

Зарегистрирован: Пт дек 02, 2005 23:54
Сообщений: 651
Откуда: Форум не посещаю ввиду грубого модерирования
"Туннель установлен" скорее всего подразумевается наличие SA, то есть результата работы IKE (aka ISAKMP), оно работает по 500/udp. А сами данные идут в пакетах ESP или AH, это IP protocol # 50, 51. Не всякий NAT пропускает такие пакеты, такая функция называется IPSec-Pass-Thru. Так что это один из возможных траблов. Узнать можно у "владельца" NAT'a, но как показывает практика, таким словам нужно верить очень осторожно, очень часто народ "пургу несёт" или выдаёт желаемое за действительной (особенно "провайдеры-домовики").
Вернуться наверх
 Профиль  
 
doctor
 Заголовок сообщения: Похожая проблема.
СообщениеДобавлено: Чт июн 29, 2006 09:51 
Не в сети

Зарегистрирован: Чт окт 14, 2004 11:01
Сообщений: 34
Откуда: Moscow
У меня не "доморощенный" провайдер, а Совинтел. С одной стороны - реальный IP, за ним 804-HV. С другой - Telindus 1030 с NAT , за ним 804-HV. Туннель установить не удается, в логах тоже самое, что и у авротора. Читал ФАКи, но проборос UDP500 и TCP50 через Telindus1030 ни к чему не привел.
Вернуться наверх
 Профиль  
 
v932
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 29, 2006 10:31 
Не в сети

Зарегистрирован: Пт дек 02, 2005 23:54
Сообщений: 651
Откуда: Форум не посещаю ввиду грубого модерирования
Странно, а я думал что я написал по-русски...

doctor, Вы выяснили про свой Telindus? Он пропускает IPSec? Тем более у Вас не "доморощенный" провайдер...

Кроме того, Ваша фраза про "проброс TCP50" даёт основания думать, что "ФАКи" Вы читали плохо - это не 50/tcp, а IP protocol №50, это 2 большие разницы и 1 маленькая.
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 29, 2006 10:33 
Нужно половить пакеты снифером. Полюбому что-то тогда прояснится.
Либо NAT не пускает, если это так, то можно икапсулировать ESP пакеты в udp4500 через NAT-T.
Снифер нужен полюбому! Если обе фазы IKE прошли успешно, нужно смотреть на инкапсуляцию пакетов в ESP/AH
Вернуться наверх
  
 
doctor
 Заголовок сообщения: Telindus и NAT.
СообщениеДобавлено: Чт июн 29, 2006 10:55 
Не в сети

Зарегистрирован: Чт окт 14, 2004 11:01
Сообщений: 34
Откуда: Moscow
Со слов инженеров Совинтела, Telindus 1030 не поддерживает функцию IPSec Pass-Through. Сейчас ищут оборудование на замену.
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 29, 2006 11:24 
Пробуйте NAT-T если не получится найти замену устройству. Тогда ESP будет инкапсулирован в UDP-4500, нужно будет просто пробросить порты до устройства.
Вернуться наверх
  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 230

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB