D-Link • Просмотр темы - DI-804HV и DFL-800

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DI-804HV и DFL-800 - IPSec-туннель

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 26 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Danil M

Заголовок сообщения: DI-804HV и DFL-800 - IPSec-туннель

Добавлено: Ср фев 14, 2007 13:14

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Код:

Офис--------DI-804---------интернет----------------DFL-800

Можно ли между DI-804 и DFL-800 поднять такой IPSec-туннель, чтобы из Офиса DI-804 все пакеты (с любыми адресами назначения) заворачивал в туннель? Я попробовал такой сделать, с адресами remote network/subnet 0.0.0.0/0.0.0.0, но туннель не устанавливается...

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 14:35

Нет, нельзя.
Мршрут по умолчанию у устройства прописан на WAN порту.

Вернуться наверх

Danil M

Заголовок сообщения:

Добавлено: Пт фев 16, 2007 08:47

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Поднял я между сабжевыми девайсами IPSec-туннель, а он почему-то падает после нескольких часов работы, переходит в режим Establishing. IKE и IPSec Life Timeтут не причем - проверил. Какие настройки надо сделать, подскажите, пожалуйста.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Пт фев 16, 2007 10:42

Всё зависит от прошивок на DI-804 он не переустанавливает туннель при истеченни времён жизни.
На 1,44б06(1,43) есть функция которая позволяет автоматически поднимать туннель после отключения. Используются ли параметры keep-alive?

Вернуться наверх

Danil M

Заголовок сообщения:

Добавлено: Пт фев 16, 2007 11:35

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Stanislav Kozlov писал(а):

На DI-804 прошивка 1.44b06, на DFL-800 - 2.11.02, с обоих сторон используется Keep Alive, у DI-804 галочка "Auto Reconnect" не стоит. Но когда туннель ложится, устройства пытаются соединитсья, DI-804 в статусе туннеля пишет "Establishing". Я пробовал ставить очень маленькие Life Time - туннель живет дольше Life Time'a.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Пт фев 16, 2007 11:37

Что какие адреса использованы в качетве keep-alive на обоих устройствах?
Если со стороны 804-го это LAN_IP 800-го, то есть ли правило вида
remnet|IPsec ->ALLOW-> core|lan_ip
Судя по всему одно из устройств не в курсе о отпадении туннеля и до сих пор держит у себя SA от старой сессии.

Вернуться наверх

Danil M

Заголовок сообщения:

Добавлено: Пт фев 16, 2007 14:34

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Stanislav Kozlov писал(а):

В кач-ве keep-alive стоят IP lan-интерфейсов девайсов, все нужные правила прописаны (в рабочем состоянии пинги проходят). Оба устройства знают, что туннель упал (у DI-804 он находится в этот момент в состоянии "Establishing", а у DFL-800 пропадает из списка IPSec-туннелей установленных). Может, поставить галку "Auto Reconnect" у DI-804? Я снял из-за совета в этой (viewtopic.php?t=35812) теме.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Пт фев 16, 2007 17:54

Нужно искать причину, неустановки соединения.
Нужны логи устройства, нужно поставить галку AutoReconnect на 804, для эксперимента поставьте маленькие времена 300/300 и собирайте статистику у обоих устройств.
Нужны логи обоих и тогда можно будет уже разбиратся дальше.

Вернуться наверх

Danil M

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 12:49

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Вот логи. 10.0.1.1 - внешний IP DFL-800, 10.0.2.1 - внешний IP DI-804.
Логи DI-804:

Код:

Wednesday February 21, 2007 11:44:14 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:15 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:15 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:15 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:15 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:44:15 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:44:15 inbound SPI = 0xbd000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:44:15 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:44:16 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:16 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:16 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:16 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:16 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:17 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:17 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:17 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:18 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:18 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:44:18 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:44:18 inbound SPI = 0xbe000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:44:48 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:48 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:49 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:49 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:49 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:49 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:49 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:44:49 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:44:48 inbound SPI = 0xcb000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:44:48 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:44:48 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:44:48 inbound SPI = 0xca000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:44:49 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:44:50 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:50 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:44:50 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:44:50 inbound SPI = 0xcc000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:44:50 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:44:51 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:44:51 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:02 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:02 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:02 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:02 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:45:02 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:45:02 inbound SPI = 0xda000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:45:03 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:45:03 Receive IKE INFO : 10.0.1.1 --> 10.0.2.1
Wednesday February 21, 2007 11:45:01 Receive IKE (INFO) : delete 10.0.1.1 -> 10.0.2.1 phase 1
Wednesday February 21, 2007 11:45:01 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:45:01 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:45:01 inbound SPI = 0x0, outbound SPI = 0x0
Wednesday February 21, 2007 11:45:01 Send IKE (INFO) : delete 10.0.2.1 -> 10.0.1.1 phase 1
Wednesday February 21, 2007 11:45:01 IKE phase1 (ISAKMP SA) remove : 10.0.2.1 <-> 10.0.1.1
Wednesday February 21, 2007 11:45:02 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:45:02 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:02 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:03 Receive IKE M1(INIT) : 10.0.1.1 --> 10.0.2.1
Wednesday February 21, 2007 11:45:03 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group5
Wednesday February 21, 2007 11:45:04 Send IKE M2(RESP) : 10.0.2.1 --> 10.0.1.1
Wednesday February 21, 2007 11:45:31 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:31 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:31 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:31 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:45:31 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:45:31 inbound SPI = 0xe7000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:45:32 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:45:33 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:33 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:33 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:33 Blocked access attempt from 84.152.206.146:1845 to TCP port 139
Wednesday February 21, 2007 11:45:34 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:34 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:34 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:34 IKED re-TX : QINIT to 10.0.1.1
Wednesday February 21, 2007 11:45:34 Send IKE (INFO) : delete [192.168.4.0|10.0.2.1]-->[10.0.1.1|192.168.0.0] phase 2
Wednesday February 21, 2007 11:45:34 IKE phase2 (IPSec SA) remove : 192.168.4.0 <-> 192.168.0.0
Wednesday February 21, 2007 11:45:34 inbound SPI = 0xe8000010, outbound SPI = 0x0
Wednesday February 21, 2007 11:45:34 Send IKE Q1(QINIT) : 192.168.4.0 --> 192.168.0.0
Wednesday February 21, 2007 11:45:35 IKED re-TX : QINIT to 10.0.1.1

А вот логи DFL-800:

Код:

2007-02-21
11:41:49    Info    IPSEC
01802703          
ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="10.0.1.1 ID 10.0.1.1" remote_peer="10.0.2.1 ID 10.0.2.1" spis="Initiator SPI 996590f6 
48887663 Responder SPI 3cbc

2007-02-21
11:41:49    Info    IPSEC
01802024          
ike_sa_negotiation_completed
rev=1 options=Initiator mode=Main Mode auth=Pre-shared keys encryption=3des-cbc keysize= hash=sha1 
dhgroup=5 bits=1536 lifetime=28800

2007-02-21
11:41:49    Info    IPSEC
01800102          
ipsec_event
rev=1 message=""

2007-02-21
11:41:48    Info    IPSEC
01803021          
ipsec_sa_statistics
rev=1 done=8240 success=1404 failed=6836

2007-02-21
11:41:48    Warning    IPSEC
01803020          
ipsec_sa_failed
no_ipsec_sa
rev=1 statusmsg="Timeout"

2007-02-21
11:41:48    Info    IPSEC
01800102          
ipsec_event
rev=1 message=""

2007-02-21
11:41:48    Info    IPSEC
01800102          
ipsec_event
rev=1 message=" Remote Proxy ID 192.168.4.0/24 any"

2007-02-21
11:41:48    Info    IPSEC
01800102          
ipsec_event
rev=1 message=" Local Proxy ID 192.168.0.0/16 any"

2007-02-21
11:41:48    Info    IPSEC
01802704          
ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="10.0.1.1 ID 10.0.1.1" remote_peer="10.0.2.1 ID 10.0.2.1" int_severity=6

2007-02-21
11:41:48    Info    IPSEC
01800102          
ipsec_event
rev=1 message="IPSec SA [Initiator] negotiation failed:"

2007-02-21
11:41:48    Info    IPSEC
01800102          
ipsec_event
rev=1 message=""

2007-02-21
11:41:47    Info    IPSEC
01802708          
ike_sa_destroyed
ike_sa_killed
rev=1 ike_sa= Initiator SPI ESP=0x19d5e287, AH=0x607a9c8d, IPComp=0x7570fc3

2007-02-21
11:40:48    Info    IPSEC
01802703          
ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="10.0.1.1 ID 10.0.1.1" remote_peer="10.0.2.1 ID 10.0.2.1" spis="Initiator SPI 3512233c 
42c6157a Responder SPI 13c7

2007-02-21
11:40:48    Info    IPSEC
01802024          
ike_sa_negotiation_completed
rev=1 options=Initiator mode=Main Mode auth=Pre-shared keys encryption=3des-cbc keysize= hash=sha1 
dhgroup=5 bits=1536 lifetime=28800

2007-02-21
11:40:48    Info    IPSEC
01800102          
ipsec_event
rev=1 message=""

2007-02-21
11:40:47    Info    IPSEC
01803021          
ipsec_sa_statistics
rev=1 done=8239 success=1404 failed=6835

2007-02-21
11:40:47    Warning    IPSEC
01803020          
ipsec_sa_failed
no_ipsec_sa
rev=1 statusmsg="Timeout"

2007-02-21
11:40:47    Info    IPSEC
01800102          
ipsec_event
rev=1 message=""

2007-02-21
11:40:47    Info    IPSEC
01800102          
ipsec_event
rev=1 message=" Remote Proxy ID 192.168.4.0/24 any"

2007-02-21
11:40:47    Info    IPSEC
01800102          
ipsec_event
rev=1 message=" Local Proxy ID 192.168.0.0/16 any"

2007-02-21
11:40:47    Info    IPSEC
01802704          
ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="10.0.1.1 ID 10.0.1.1" remote_peer="10.0.2.1 ID 10.0.2.1" int_severity=6

2007-02-21
11:40:47    Info    IPSEC
01800102          
ipsec_event
rev=1 message="IPSec SA [Initiator] negotiation failed:"

2007-02-21
11:40:47    Info    IPSEC
01800102          
ipsec_event
rev=1 message=""

2007-02-21
11:40:45    Info    IPSEC
01802708          
ike_sa_destroyed
ike_sa_killed
rev=1 ike_sa= Initiator SPI ESP=0xcaac7590, AH=0x8b739802, IPComp=0x9d71432

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 13:58

не устанавливается вторая фаза соединения.
Проверьте PFS и времена жизни.
Для верности советую перегрузить оба устройства, чтобы не было ни одной старой записи SA

Вернуться наверх

Danil M

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 14:09

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Stanislav Kozlov писал(а):

не устанавливается вторая фаза соединения.
Проверьте PFS и времена жизни.

PFS на DFL-800 стоит "None", времена жизни на обоих устройствах 28800/3600 (IKE/IPSec).

Stanislav Kozlov писал(а):

Для верности советую перегрузить оба устройства, чтобы не было ни одной старой записи SA

После перезагрузки DI-804 туннель сразу восстанавливается, старых записей SA у DFL-800 не наблюдается. Может, какие хитрые параметры надо изменить/убрать/поставить у DFL-800 в "advanced settings" IPSec-туннелей? У меня сейчас стоит по умолчанию.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 14:31

МОжет помочь только механизм keep-alive он и отвечает за то, чтобы устройство при отпадении канала удаляла игнформацию о SA и устанавливало сессию заново с первой фазы.

Вернуться наверх

Danil M

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 15:09

Зарегистрирован: Чт янв 18, 2007 10:19
Сообщений: 86

Stanislav Kozlov писал(а):

Keep-alive стоит... Какие еще параметры могут быть неправильно настроены?

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 15:27

Больше никаких специфических настроек нет.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Ср фев 21, 2007 15:46

Кстати Вы сбрасывали устройство к заводским настройкам после перепрошивки?

Вернуться наверх

Страница 1 из 2

[ Сообщений: 26 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 517

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения