На стенде два DFL-210 (f/w 2.12.00.44-1877). Между ними по инструкции поднят IPSec канал. Трафик и пинги идут нормально. Но при трассировке из одной локальной подсети (192.168.2.0/24) в другую (192.168.1.0/24), оба DFL не отображаются. Правила в основном сформированы мастером первоначальной настройки и настройкой IPSec канала.


Как заставить их показаться?

И еще одно. Как IPSec настроить на работу без шифрования для того, чтобы максимально увеличить производительность?

Спасибо.

up

1. Если не нужно шифрования используйте PPTP работать будет быстрее, туннельность и инкапсуляция сохраняется
2. Для трассировки нужно выполнить все те же правила, что и для трассировки объектов в интрнет:
а) Выключить за наблюдением TTL.
б) Создать правило lan->core/ipsec->core

Прошу чуть подробнее.

Что и где выключить?

Для какого сервиса?

Мне кажеться или Вы множество раз учавствывали в этой теме...
Посмотрите пожалуйста поиском, я приводил документы и скриншоты.

YuriAM
Удалось настроить трассировку?

Наконец, я готов доложить результаты. Все успешно пингуется и трассируется из под Windows между двумя сетями, а большего мне не надо.

Я отталкивался от этих двух тезисов и результатов поиска по форуму.

Это означает, что в правиле, разрешающем трассировку для Windows, должны быть разрешены ICMP запросы Echo Request и включена галочка "Pass returned from ICMP error messages from destination".

Вот тут вкралась неточность. Правило lan->core / ipsec->core нужно для пинга и для последнего хопа в трассировке, который и обрабатывается как пинг. Правило для трассировки должно быть вида lan->remote_lan / remote_lan->lan.

А сейчас я полностью опишу, что проделал, чтобы добиться полного прохождения в Windows трассировки и пингов между двумя сетями, соединенными по IPSec.

Для трассировки и пингов формируются отдельные правила. Я их по отдельности и опишу.

ДЛЯ ТРАССИРОВКИ:

Примечание: Чтобы отображались первые 2 хопа не надо забывать изменить параметр "System -> Advanced Settings -> IP Settings -> TTL Min:" с 3 на 1.

1-й вариант:
Один простой и правильный путь. Создать 2 правила для трассировки в обе стороны. Они должны располагаться выше двух правил для сервиса all_services в оба направления:

trace_ipsec Allow lan lannet fw_Sklad-ipsec fw_Sklad-remotenet ping-outbound
trace_ipsec Allow fw_Sklad-ipsec fw_Sklad-remotenet lan lannet ping-outbound

2-й вариант, мой:
Мои цели:
- добиться прохождения трассировки туда, куда назначаю полный доступ;
- минимизировать количество используемых правил;
- не изменять сервисы, созданные по умолчанию;
- минимизировать количество вносимых изменений в собственные сервисы, созданные на основе существующих по умолчанию.

Свежая модификация: Цели полного доступа с разрешением трассировки из под Windows и Unix, а также разрешением pptp-passthough, можно достичь созданием и разрешением в правилах сервиса IPProto 0-255 с установленной галочкой "Pass returned ICMP error messages from destination". У меня этот сервис называется All_services_n_trace. Это позволит во многих случаях обходиться одним разрешающим правилом.

Старая модификация:
В целом, я создаю и использую service, идентичный all_services, но с добавлением включенной галки "Pass returned from ICMP error messages from destination" для типа Echo Request.

Для этого я создаю 3 сервиса:
1. All_icmp_except_trace. Аналог all_icmp, только отключен Echo Request
2. All_tcp_udp Аналог all_tcpudp, но созданный не как группа сервисов, а как один сервис для обоих протоколов TCP/UDP.
3. All_services_n_trace. Группа сервисов. Включает в себя: All_icmp_except_trace, All_tcp_udp, ping-outbound. Аналог all_services, но со включенной трассировкой.

Далее я редактирую правила, созданные для связи двух сетей по IPSec и они приобретают следующий вид:
allow_all Allow lan lannet fw_Sklad-ipsec fw_Sklad-remotenet All_services_n_trace
allow-all Allow fw_Sklad-ipsec fw_Sklad-remotenet lan lannet All_services_n_trace

Попутно мне это позволяет изменить правила, созданные мастером первоначальной настройки:

- измененное
allow_standard NAT lan lannet wan_all all-nets All_services_n_trace

- удаленное, т.к. его функционал уже обеспечен предыдущим правилом.
allow_ping-outbound NAT lan lannet wan_all all-nets ping-outbound

Весь этот довольно длинный путь я делаю ради того, чтобы в дальнейшем вместо правила all_services всегда использовать All_services_n_trace, т.к. хочу, чтобы трассировка работала везде.

3-й вариант:
Это для самых свежих прошивок не подходит. Для ленивых и не очень щепетильных есть быстрый путь. Поскольку сервис all_icmp входит в состав all_services, в существующем правиле all_icmp поставить галочку "Pass returned from ICMP error messages from destination".

На этом с трассировкой я закончил.

ДЛЯ ПИНГА:

В папке IP Rules к правилу
ping_fw Allow lan lannet core lan_ip ping-inbound

добавить аналогичное для IPSec канала и удаленной подсети
ping_fw_ipsec Allow fw_Sklad-ipsec fw_Sklad-remotenet core lan_ip ping-inbound

Вот и все, ребята!

P.S. Для трассировки из Unix систем должен быть разрешен сервис traceroute-udp.


Принимается конструктивная критика и замечания.


Ключевые слова: ipsec IPSec трассировка trace route traceroute tracert windows пинг ping DFL-210 DFL 210 800 1600 2500

lan->core нужно полюбому, иначе не будет отображаться LAN_IP

lan->core и ipsec->core нужен для сервиса ping-inbound. Он отвечает за последний хоп в трассировке, но по сути это пинг и находится в разделе пингов. А для трассировки он не нужен. Я тщательно все проверял: в обе стороны пинги и трейсы по раздельности на все хопы по пути следования:
комп_в_сети_1 - DFL_1 - (IPSec канал) - DFL_2 - комп_в_сети_2.

Долго пользовался поиском но так и не нашел ответа, может подскажете хоть ссылкой ?
Меня интеррисует настройка трассировки интернет адрессов.

Что Вы под этим подразумеваете?
Попробуйте tracert /? в коммандной строке.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Смешно Меня интеррисуют настройки DFL210 а не как консолька в винде работает. Правило ping-outbound создал, но чтото непомогло.

Mr.Bogus просто трасерт не работает что ли?
тогда систем - адвансед сеттингс - айпи сеттингс - ттл мин = 0

Смешно Меня интеррисуют настройки DFL210 а не как консолька в винде работает. Правило ping-outbound создал, но чтото непомогло.

Меня интеррисует
2. Для трассировки нужно выполнить все те же правила, что и для трассировки объектов в интрнет:
а) Выключить за наблюдением TTL. - где это живет
б) Создать правило lan->core/ipsec->core - опять же непонял как это правило выглядит, слишком обобщенно. Вот и не понимаю как правило сделать.

Вы не прочитали самый большой мой пост в этом топике? Или там слишком много букф?

Я там старался максимально полно осветить этот вопрос. Что там осталось неясным?

В целом, для нормальной трассировки наружу нужны 2 вещи:

1. Сменить Min TTL на 1 (см. выше как) (по умолчанию = 3)
2. Создать правило и расположить его выше правила с сервисом all_service для этого же маршрута
allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
(это и так создается мастером первоначальной настройки)