D-Link • Просмотр темы - Ping через VPN на DFL-210

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Ping через VPN на DFL-210

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

HeroIn

Заголовок сообщения: Ping через VPN на DFL-210

Добавлено: Пн май 26, 2008 13:17

Зарегистрирован: Пн май 26, 2008 13:05
Сообщений: 7

Созданы по IPSEC VPN с 32 подразделениями на DFL 210 и PIX-512, некоторое время они были независимыми(разные каналы и разные локальные подсети). Сейчас понадобилось сделать VPN между PIX и DFL канал поднялся отлично, пинг со стороны подсети DFL проходит в сеть пикса, а наоборот нет. Разрешения стандартные, как и на остальных VPN соединениях. Разбирались, оказалось, что отбрасывает пакеты именно DFL - в логах следущее:

Код:

2008-05-26
14:16:06    Warning    RULE
6000051    Default_Rule    ICMP    PIX
   10.4.126.202
192.168.191.254    
   ruleset_drop_packet
drop
ipdatalen=64 icmptype=ECHO_REQUEST echoid=26937 echoseq=3

Что это за дефолтное правило? и как с ним бороться?[/code]

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн май 26, 2008 14:38

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Пинги в подсеть DFL или на его интерфейс разрешаются разными правилами. Если вы хотите разрешить пинг из удаленной сети на LAN-интерфейс DFL, то необходимо правило вида:

Ping_FW Allow VPN_interface Remote_VPN_Network core lan_ip ping-inbound

Для трассировки надо правило вида

Trace_via_FW Allow VPN_interface Remote_VPN_Network lan lannet ping-outbound

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Последний раз редактировалось YuriAM Пн май 26, 2008 15:12, всего редактировалось 1 раз.

Вернуться наверх

HeroIn

Заголовок сообщения:

Добавлено: Пн май 26, 2008 15:12

Зарегистрирован: Пн май 26, 2008 13:05
Сообщений: 7

я конфигурирую DFL через веб-интерфейс, там для разрешения прохождения пакетов приблизительно такие правила

Код:

ToPIX allow all_services to PIX PIX_NET from LAN LAN_NET
FromPIX allow all_services to LAN LAN_NET from PIX PIX_NET

Такая схема работает на всех впнах с филиалами, а вот когда пикса подключили, то на него пакеты пошли, а от него пакеты отбрасываются, причем из логов видно, что отбрасывается echo_request.

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн май 26, 2008 15:16

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Т.е. все работает кроме пингов?

Поясните точнее какой именно трафик, куда и откуда не проходит? Пинги? Из удаленной сети в локальную сеть? Из удаленной сети на локальный интерфейс файрволла?

Вернуться наверх

HeroIn

Заголовок сообщения:

Добавлено: Пн май 26, 2008 15:26

Зарегистрирован: Пн май 26, 2008 13:05
Сообщений: 7

Весь трафик от DFL_NET в сеть PIX_NET идет а от PIX_NET в DFL_NET не проходит вообще. При этом дано полное разрешение на прохождение всех пакетов от туда и туда.
Трафик должен ходить из сети в сеть в обоих напрвлениях.

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Пн май 26, 2008 17:03

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

не забывыйте разрешить эхо реквест в ICMP протоколе.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 232

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения