Sergey Vasiliev писал(а):
Правила срабатывают по порядку, если запрещающее правило будет выше чем разрешающее, оно не сработает.
У меня в процессе экспериментов возникло прямо противоположное впечатление - вышестоящие правила имеют приоритет над нижестоящими. Запрет исходящего SMTP у меня работает, только если он размещен выше дефолтного правила NAT из lan в wan.
А теперь, пожалуйста, объясните, как поднять IPSec-туннель с DI-808HV? Все вроде бы правильно настроено, но туннель не поднимается. В логах на DI-808HV пишет:
Цитата:
Tuesday January 29, 2008 08:11:03 Send IKE M1(INIT) : 62.105.140.178 --> 213.247.143.228
Tuesday January 29, 2008 08:11:03 Receive IKE M2(RESP) : 213.247.143.228 --> 62.105.140.178
Tuesday January 29, 2008 08:11:03 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Tuesday January 29, 2008 08:11:03 Send IKE M3(KEYINIT) : 62.105.140.178 --> 213.247.143.228
Tuesday January 29, 2008 08:11:03 Receive IKE M4(KEYRESP) : 213.247.143.228 --> 62.105.140.178
Tuesday January 29, 2008 08:11:04 Send IKE M5(IDINIT) : 62.105.140.178 --> 213.247.143.228
Tuesday January 29, 2008 08:11:04 Receive IKE INFO : 213.247.143.228 --> 62.105.140.178
Tuesday January 29, 2008 08:11:04 Send IKE (INFO) : delete 62.105.140.178 -> 213.247.143.228 phase 1
Tuesday January 29, 2008 08:11:04 IKE phase1 (ISAKMP SA) remove : 62.105.140.178 <-> 213.247.143.228
в логах DFL-210:
Цитата:
2008-01-29
08:23:47 Warning IPSEC
01800106
ike_invalid_payload
rev=1 local_ip=213.247.143.228 remote_ip=62.105.140.178 cookies= reason="IKE_INVALID_COOKIE"
2008-01-29
08:23:47 Info IPSEC
01802708
ike_sa_destroyed
ike_sa_killed
rev=1 ike_sa= Initiator SPI ESP=0x0f350083, AH=0x60bea56e, IPComp=0x35930b0
2008-01-29
08:23:47 Warning IPSEC
01802022
ike_sa_failed
no_ike_sa
rev=2 statusmsg="Invalid payload type" local_peer=213.247.143.228 ID No Id remote_peer=62.105.140.178 ID No Id initiator_spi=ESP=0x0f350083, AH=0x60bea56e, IPComp=
2008-01-29
08:23:47 Warning IPSEC
01802715
event_on_ike_sa
rev=1 side=Responder msg="failed" int_severity=6
2008-01-29
08:23:47 Warning IPSEC
01800106
ike_invalid_payload
rev=1 local_ip=213.247.143.228 remote_ip=62.105.140.178 cookies=0f35008360bea56e35930b0d014f3d98 reason="Invalid payload type in encrypted payload chain, possibly because of
2008-01-29
08:23:46 Info CONN
00600001 IPsecBeforeRules UDP wan
core 62.105.140.178
213.247.143.228 500
500 conn_open
rev=1 conn=open
Обидно: "possibly because of" - а дальше самое интересное обрезано.
В чем может быть проблема? Есть где-нибудь хорошая инструкция? А то в "родной" на тему "LAN to LAN tunnels with a Pre-shared Key" - два с половиной абзаца.
Вход
Регистрация
FAQ
Поиск
