1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 17:14

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
dehhuc
СообщениеДобавлено: Чт янв 31, 2008 07:32 
Не в сети

Зарегистрирован: Сб июн 09, 2007 07:52
Сообщений: 28
Пытаюсь организовать IPSec тунель между 2-мя сетями: в 1-ой сети в качестве рутера DFL-800, во второй стоит FreeBSD с 2мя сетевыми картами, поднят racoon+ipsec-tools. на внешней сетевухе адрес 192.168.1.169. DFL включен в ту же сеть через WAN2.

DFL настроен по доке. но когда фря пытается поднять тунель DFL её режет: "2008-01-31 11:13:16 Warning RULE 06000051 Default_Rule IP wan2 192.168.1.169 217.117.181.84 ruleset_drop_packet drop rev=1 ipdatalen=84". 217.117.181.84 - адрес WAN2 Длинка, они в одной сети с 192.168.1.169.

Какое правило надо на длинке прописать чтоб он трафик от фри не резал???
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 31, 2008 12:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Добавьте route на DFL wan2 wan2_net с метрикой меньше чем wan1 wan1_net
Вернуться наверх
 Профиль  
 
dehhuc
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 31, 2008 12:52 
Не в сети

Зарегистрирован: Сб июн 09, 2007 07:52
Сообщений: 28
Прописал-не помогает!

вот из таблицы рутинга:

Type Interface Network Gateway LocalIP Metric RouteMonitor

Route wan2 all-nets wan2_gw 80 Yes
Route wan2 wan2net 80 Yes
Route PPPoEClient all-nets 90 Yes
Route dmz dmznet 100 No
Route lan lannet 100 No
Route PPPoEClient all-nets 90 No
Route VPNС remote_lan 60 No

где VPNC-имя ipsec тунеля.

сделал метрику на рутинг 60, так надо было?

у меня 2 канала, с полиси роутингом
Вернуться наверх
 Профиль  
 
dehhuc
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 01, 2008 11:44 
Не в сети

Зарегистрирован: Сб июн 09, 2007 07:52
Сообщений: 28
сегодня с утра разобрался в чём проблема была, на FreeBSD в конфиге нашёл ошибку :)

счас проблема в другом, c IKE ключами: вот в логе DFL:

2008-01-32
15:33:14 Info IPSEC
01802708


ike_sa_destroyed
ike_sa_killed
rev=1 ike_sa= Initiator SPI ESP=0xc34dcebc, AH=0x63844d24, IPComp=0xa0c3f68
2008-01-32
15:33:14 Warning IPSEC
01802022


ike_sa_failed
no_ike_sa
rev=1 statusmsg="No proposal chosen"
2008-01-32
15:33:14 Warning IPSEC
01802715


event_on_ike_sa

rev=1 side=Responder msg="failed" int_severity=6
2008-01-32
15:33:14 Warning IPSEC
01800107


ike_invalid_proposal

rev=1 local_ip=217.117.181.84 remote_ip=192.168.1.169 cookies=c34dcebc63844d24a0c3f6848f05125d reason="Could not find acceptable proposal"
2008-01-32
15:33:14 Notice IPSEC
01802300


rule_selection_failed

rev=1 info=Unknown int_severity=6
2008-01-32
15:33:14 Info IPSEC
01803002


failed_to_select_ike_sa

rev=1
2008-01-32
15:33:14 Warning IPSEC
01802715


event_on_ike_sa

rev=1 side=Responder msg="failed" int_severity=6
2008-01-32
15:33:14 Info CONN
00600001 IPsecBeforeRules UDP wan2
core 192.168.1.169
217.117.181.84 500
500 conn_open


на фре в логе:
2008-02-01 16:49:25: ERROR: Message: '"Could not find acceptable proposal '.
2008-02-01 16:49:35: ERROR: fatal NO-PROPOSAL-CHOSEN notify messsage, phase1 should be deleted.


Документации по dfl-800 и фре не нашёл, только по 804
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 01, 2008 11:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Настройки не IPSec (IKE, IPSec proposal) неидентичны на обоих сторонах.
Вернуться наверх
 Профиль  
 
dehhuc
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 01, 2008 12:33 
Не в сети

Зарегистрирован: Сб июн 09, 2007 07:52
Сообщений: 28
где можно примеры этих настроек посмотреть, а то сижу методом "научного тыка" :roll: настраиваю, патаметры IKE Setting вроде поставил одинаковые с обоих сторон, счас вот на что ругается:

2008-01-32
16:24:00 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.117.181.84 remote_ip=192.168.1.169 cookies= reason="IKE_INVALID_COOKIE"
2008-01-32
16:23:40 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.117.181.84 remote_ip=192.168.1.169 cookies= reason="IKE_INVALID_COOKIE"
2008-01-32
16:23:39 Notice ARP
00300007 ARPMatchEnetSender wan2
192.168.1.1

mismatching_hwaddrs_drop
drop
rev=1 hwsender=0004:615d:9ba7 hwdest=0000:0000:0000 arp=reply srcenet=0005:5db4:77c7 destenet=0013:463d:9
2008-01-32
16:23:20 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.117.181.84 remote_ip=192.168.1.169 cookies= reason="IKE_INVALID_COOKIE"
2008-01-32
16:23:00 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.117.181.84 remote_ip=192.168.1.169 cookies= reason="IKE_INVALID_COOKIE"
2008-01-32
16:22:40 Info IPSEC
01802708


ike_sa_destroyed
ike_sa_killed
rev=1 ike_sa= Initiator SPI ESP=0x22a4c1d3, AH=0x04af1615, IPComp=0x5f019ed
2008-01-32
16:22:40 Warning IPSEC
01802022


ike_sa_failed
no_ike_sa
rev=1 statusmsg="Invalid payload type"
2008-01-32
16:22:40 Warning IPSEC
01802715


event_on_ike_sa

rev=1 side=Responder msg="failed" int_severity=6
2008-01-32
16:22:40 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.117.181.84 remote_ip=192.168.1.169 cookies=22a4c1d304af16155f019edc6f312fb8 reason="Invalid payload type in encrypted payload chain, possibly because of di
2008-01-32
16:22:40 Info CONN
00600001 IPsecBeforeRules UDP wan2
core 192.168.1.169
217.117.181.84 500
500 conn_open

rev=1 conn=open
Вернуться наверх
 Профиль  
 
dehhuc
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 01, 2008 12:50 
Не в сети

Зарегистрирован: Сб июн 09, 2007 07:52
Сообщений: 28
делал по аналогии вот с этим http://www.dlink.ru/technical/faq_vpn_11.php
Вернуться наверх
 Профиль  
 
dehhuc
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 01, 2008 13:05 
Не в сети

Зарегистрирован: Сб июн 09, 2007 07:52
Сообщений: 28
заработало вроде...проблема была HEX виде pre_shared_key-сделал в символьном виде, стало работать!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 293

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB