D-Link • Просмотр темы - VPN из локалки через DI-804

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

VPN из локалки через DI-804

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 9 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Заголовок сообщения: VPN из локалки через DI-804

Добавлено: Ср июл 12, 2006 09:10

Зарегистрирован: Ср июл 12, 2006 08:14
Сообщений: 5
Откуда: Moscow

Заадача:
Локалка с доступом в интернет по выделенной линии через DI-804.

В локалке есть PC с установленным VPN клиентом Cisco - связывается с удаленным офисом.
Интернет идет без проблем, VPN клиент соединение установить не может. Этот же PC через GPRS или модем связывается мгновенно.

В DI-804 firewall полностью открыт, VPN pass through - enabled, VPN DI-804 не включен.
Провайдер клянется, что порты не фильтрует.

Чего в настройках может не хватать?

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 10:19

Не хватает проброса udp-500 для установления сессии IKE инициатора и принимателя соединения.
Если IP на WAN интерфейсе не реальный, то возможно придётся играться с Aggressive mode и NAT-T

Вернуться наверх

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 10:41

Зарегистрирован: Ср июл 12, 2006 08:14
Сообщений: 5
Откуда: Moscow

как это сделать?
Или где посмотреть?
Перелопатил форум и DOC - пока безрезультатно.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 10:49

Если речь идёт о PortMapping
http://www.dlink.ru/technical/faq_internet_27.php

Вернуться наверх

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 11:29

Зарегистрирован: Ср июл 12, 2006 08:14
Сообщений: 5
Откуда: Moscow

Прописал порты:
UDP 10000
UDP 500
ALL 50
UDP 1723
ALL 47
UDP 4500
Результата нет.

VPN Client как и раньше выдает ошибку

1 12:04:22.239 07/12/06 Sev=Warning/2 CVPND/0xA3400018
Output size mismatch. Actual: 0, Expected: 233. (DRVIFACE:1361)

DI-804 окне Active session дает

192.168.1.3:63199 UDP 231.213.101.221:62514 57309 98
192.168.1.3:63200 UDP 231.213.101.221:62514 57311 99

и т.д.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 11:40

К сожалению я не знаю по какому принципу производится авторизация Cisco client
В классическом понимании, сначала идёт обмен ключами через IKE-UDP500, потом пакеты инкапсулируются в ESP-протокол50, для его пропуска как раз и ставится галка IPSec Passthrough enable.
Вы так и не сказали, есть ли NAT в локалке провайдера. Если да, то так же нужно пробрасывать порты либо же использовать NAT-T

Вернуться наверх

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 16:07

Зарегистрирован: Ср июл 12, 2006 08:14
Сообщений: 5
Откуда: Moscow

у провайдера NAT нет - широкополосный доступ без каких либо ограничений.
а как можно использовать NAT-T?

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 16:12

NAT-T используется если на пути трафика стоит NAT и запрещен пропуск ESP протокола, тогда пакеты инкапсулируются в UDP-4500 и отправляются как UDP трафик, а не prot=50.
В вашем случае попробуйте принимающую сторону перевести в agressive mode.

Вернуться наверх

Заголовок сообщения:

Добавлено: Ср июл 12, 2006 16:28

Зарегистрирован: Ср июл 12, 2006 08:14
Сообщений: 5
Откуда: Moscow

Головной офис работает со всеми филиалами. Из-за нашего менять настройки им нежелательно.
В настройках, которые они нам дали - просили открыть указанные выше порты включая UDP 4500 и IP 50.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 9 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 257

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения