1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 12:58

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 26 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
drserge
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 17:19 
Не в сети

Зарегистрирован: Пн мар 27, 2006 21:36
Сообщений: 197
Откуда: Moscow
Stanislav Kozlov писал(а):
Изначально имелось ввиду использование одного единственного канала. Ни о каких двойных речи не велось.
При падении одного из каналов тунель поднимается по верх резервного.

Если используем Main Mode - IKE не пройдет авторизацию, т.к. внешние IP будут отличаться.
Желающих использовать Manual Keying в целях отличных от общеобразовательных не видел :-)

_________________
best wishes, drserge
Вернуться наверх
 Профиль  
 
drserge
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 17:22 
Не в сети

Зарегистрирован: Пн мар 27, 2006 21:36
Сообщений: 197
Откуда: Moscow
v932 писал(а):
Но два динамических peer-а то уж точно совместно не живут...

В Aggressive Mode вроде возможно, но не во всех реализациях (почему-то кажется, что D-Link не умеет).

_________________
best wishes, drserge
Вернуться наверх
 Профиль  
 
v932
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 18:05 
Не в сети

Зарегистрирован: Пт дек 02, 2005 23:54
Сообщений: 651
Откуда: Форум не посещаю ввиду грубого модерирования
Под "динамическим" я имел ввиду конфигурацию, в которой не задан адрес противоположного peer-а (это, например, для "сервера" и "клиента" с динамическим IP), то есть туннель поднимаетя, как я понимаю, только с одной стороны. Вроде что-то такое было в 804-ом, но я не пробовал за ненадобностью. В этом контексте я и выразился, что оба peer-a динамическими быть не могут, т.к. ни один из них не будет знать IP своего визави.

P.S. Вот сижу играюсь с 2-ух портовым роутером - xxx538 - резервирование и/или балансировка WAN-ов, встроенный снифер с экспортом в *.cap
Вернуться наверх
 Профиль  
 
drserge
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 19:34 
Не в сети

Зарегистрирован: Пн мар 27, 2006 21:36
Сообщений: 197
Откуда: Moscow
v932 писал(а):
Под "динамическим" я имел ввиду конфигурацию, в которой не задан адрес противоположного peer-а (это, например, для "сервера" и "клиента" с динамическим IP), то есть туннель поднимаетя, как я понимаю, только с одной стороны. Вроде что-то такое было в 804-ом, но я не пробовал за ненадобностью. В этом контексте я и выразился, что оба peer-a динамическими быть не могут, т.к. ни один из них не будет знать IP своего визави.

А возможности указать сторону именем узла нет? У 804 такая возможность точно есть.

_________________
best wishes, drserge
Вернуться наверх
 Профиль  
 
v932
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 19:49 
Не в сети

Зарегистрирован: Пт дек 02, 2005 23:54
Сообщений: 651
Откуда: Форум не посещаю ввиду грубого модерирования
Собственно, меня это уже перестало беспокоить... Я так, из теор.любопытства.
Вы имеете ввиду связку с динамическим DNS?
Вернуться наверх
 Профиль  
 
grieen
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 20:30 
Не в сети

Зарегистрирован: Вт ноя 01, 2005 15:13
Сообщений: 19
Откуда: Ижевск
Stanislav Kozlov писал(а):
В дальнейшем речь шла о резервировании тунеля IPSec. Подразумеваятся поднятие туннеля, но уже через другой WAN интерфейс.


Именно это и имелось в виду. Если упал линк wan1-wan1, то использовать линк wan2-wan2.

Что испытывалось:
1) Два IPSec туннеля в tunnel режиме -- не работает из за особенностей IPSec
2) Два IPSec/transport соединения c L2TP туннелем в каждом. Нужные сетки прокидываются уже через них -- работает, но очень плохо. Постоянно возникает ситуация, когда клиент пытается поднять упавший туннель, а сервер просто не реагирует.
3) Вариант с двумя таблицами маршрутизации -- определение того, что основной канал упал, происходит почти мгновенно. Но при его поднятии обратного переключения не происходит. (см тему DFL-800 IPSec route monitoring)

Теоретически, два тупых gre туннеля внутри IPSec/transport + OSPF для мониторинга линков должны были решить проблему, но вот в DFL-800 gre туннелей нет. Да и описание интерфейса конфигурирования OSPF желает много лучшего.
Вернуться наверх
 Профиль  
 
drserge
 Заголовок сообщения:
СообщениеДобавлено: Ср май 10, 2006 20:58 
Не в сети

Зарегистрирован: Пн мар 27, 2006 21:36
Сообщений: 197
Откуда: Moscow
v932 писал(а):
Собственно, меня это уже перестало беспокоить... Я так, из теор.любопытства.
Вы имеете ввиду связку с динамическим DNS?

Естественно (применительно к случаю с динамическими адресами по обоим концам туннеля).

_________________
best wishes, drserge
Вернуться наверх
 Профиль  
 
grieen
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 11, 2006 07:00 
Не в сети

Зарегистрирован: Вт ноя 01, 2005 15:13
Сообщений: 19
Откуда: Ижевск
Stanislav Kozlov писал(а):
Эта функция називается VPN failover она доступна в бэта версиях прошивки и мы в данный момент её тестируем. Как только все тесты пройдут обнародуем результаты.

Прошло 3 месяца... Есть результаты?
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 11, 2006 09:34 
Нет, пока результатов нет.
Вернуться наверх
  
 
grieen
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 24, 2006 15:48 
Не в сети

Зарегистрирован: Вт ноя 01, 2005 15:13
Сообщений: 19
Откуда: Ижевск
Прошло еще 2 месяца...

Или я проспал, и требуемая функциональность уже добавлена?
Вернуться наверх
 Профиль  
 
grieen
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 07, 2006 13:33 
Не в сети

Зарегистрирован: Вт ноя 01, 2005 15:13
Сообщений: 19
Откуда: Ижевск
Прошел еще месяц... Прекращать ждать, или нет еще?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 26 ]  На страницу Пред.  1, 2

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 218

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB