Господа модераторы и всезнающий Олл, помогите настроить впн между двумя сабжами. Все делал согласно
FAQ - не помогает. Может чего неправильно делал ? Опыта построения впн, тем более на железе, нет.


Итак имеем:

1) DI-804HV v.1.40 ( офис )

Status:

LAN: 192.168.0.66/24
WAN: 62.205.171.146/24
GATE: 62.205.171.2

VPN:

Local subnet: 192.168.0.0
mask: 255.255.255.0
Remote subnet: 192.168.1.0
mask: 255.255.255.0
Gate: 192.168.21.59

2) DI-804HV v.1.38 ( филиал )

Status:

LAN: 192.168.1.66/24
WAN: 192.168.21.59/24
GATE: 192.168.21.1

VPN:

Local subnet: 192.168.1.0
mask: 255.255.255.0
Remote subnet: 192.168.0.0
mask: 255.255.255.0
Gate: 62.205.171.146

Остальные настройки на обоих роутерах одинаковы и _абсолютно_ такие же как и в FAQ, вплоть до ключа
Однако, пинги не идут, а по логам на обоих роутерах видно, что попытка создать тоннель
обламывается. В местном FAQе у двух роутеров был одинаковый шлюз, а у меня разные. И разные
провайдеры. Это может как-то влиять ? И еще, я так понимаю, что при создании тонеля между двумя подсетями
возможность обычного использования интернет на тех роутерах все таки остается ?

1. нужны логи
2. провайдер может прикрыть ipsec - нужно узнавать явно
3. да, даже при поднятии туннеля доступ в Интернет остается.

_________________
С уважением, Карагезов Владислав

В логах в ответ на ping 192.168.1.66 -t пишет:

10/03/2004 01:42:42 Send IKE M1(INIT) : 62.205.171.146 --> 192.168.21.59
10/03/2004 01:43:34 Send IKE (INFO) : delete 62.205.171.146 -> 192.168.21.59 phase 1
10/03/2004 01:43:34 IKE phase1 (ISAKMP SA) remove : 62.205.171.146 <-> 192.168.21.59

Правда, включен еще на 192.168.0.66 файрволл с такими правилами. Особенно смущают два последних, но они даже не редактируются, ибо заводские и я не знаю как их убрать или отключить.

Deny 3 *,* *,* *,1-20
Deny 2 *,* *,* *,5191-8079
Deny 1 *,* *,* *,444-5189
Allow Allow to Ping WAN port WAN,* LAN,* ICMP,*
Allow 4 *,* *,* *,8081-65535
Allow Allow to Ping WAN port WAN,* WAN,* ICMP,*
Deny Default *,* LAN,* *,*
Allow Default LAN,* *,* *,*

Кстати, для кучи - вопрос по файрволлу: можно в этом роутере сначала все запретить, а уж потом открывать нужные порты ? Или на правиле "запретить все" обработка правил заканчивается ?

То же самое, бились вчера над настройкой 2-х 804-х на IPSEC VPN.
Есть некоторые недопонятые места в настройках. Например remote gateway. В faq написано что это должен быть внешний адрес шлюза длинк. Т.е. для устройства А (с локал сеть А) remote gateway должен быть wan адрес устройства А? Если внести настройку как бы кросс (на устройства А удаленный шлюз Б и наоборот) то пропадает интернет.
Прошивка 1.40. Стал сканировать открытые порты- порта 500 нет.
Галочку "включить vpn" поставили. У меня после длинка еще одна nat есть и там сделал portforward через nat, порт 500. Вместо 500 вылавливаю открытый 80 и 21 (который не открывался).

Можно подробно разъяснить про порт IPSEC. Его ли (500) надо искать и что означает если порта нету?
Сканировал порт 500 на удаленном компе (висит открытый wan порт длинка в интернет) и там тоже не обнаружил открытого порта 500.
Прошивка такая же, 1.40

Я работаю через СТРИМ и есть ли сведения о проходимости ipsec через сеть СТРИМ?

Второй момент_____
Я работаю через СТРИМ и там меняется адрес, но у меня зарегистрирована служба бесплатных доменных имен и есть адрес в строчку буквами для прямого коннекта не взирая на меняющийся IP. В настройке своего длинка я вместо адреса ремоте гейтвей указал этот свой доменный адрес. Строчка явно это позволяет (длинная)- правильно ли это или нужен именно ip?

Третий момент____
как можно (если нужно) задействовать динамический VPN? Это в faq не описано.
Спасибо заранее.

В настройках разобрались сами. Еще раз все проверяли и выяснилось что ремоут гейтвей это все же адрес хоста на другом конце.
Также работает домен вместо адреса.
Предательски повел себя длинк. То и дело он подвисает и вырубается инет. Подвисает после нажатия apply и внешне работает нормально, но связи с интернетом нет. Теперь приходится его еще и контрольный раз перезагружать после внесения изменений.
Вообще стабильность выхода на рабочий режим у длинк никакая.
Особенно если он не работал и остыл до комнатной температуры. Может не загрузиться фирмваре или произойти вот такой скрытый глюк. Неужели там уже повысохли конденсаторы?

Теперь есть такой результат-пинги до машин 192.168.1.2 и в обратку ходят нормально, туннель поднимается, но время пинга 740-800мс
Попытки найти компьютеры сети с помощью утилит поиска (lanscope,
lnetscan) ни к чему не привели.
поиск из сетевого окружения дал результат- оба удаленных компа через минуту поиска были найдены. В одну сторону даже удавалось открывать шареные папки и видеть в них файлы, но в другую виделись только папки и вход в них блокировался.
Вроде результат есть, но связи нормальной нет.
Непужели все это из-за длинного пинга?
Как влияет включение или выключение agressive mode?

Вы сможете привести все настройки обоих роутеров так, как сделал это я в первом письме ? Хочется посмотреть, что же у меня все таки не так. Кстати, и настройки файрволла тоже - ведь у меня порт 500 на одном закрыт. Влияет ли это или нет ? Кстати, если можно, и настройки VPN алгоритмов и ключей. Пока не могу добраться до своих железок, ибо они на работе. Хотя бы теорию уточнить. По поводу глюков и вырубания из инета - он и без VPN на прошивке 1.40 может такое вытворять раз в неделю где-то. Лечится, по слухам, либо перепрошивкой на 1.40b3, хотя у меня по ссылке ничего не открывается, либо банальным выключением питания.

Ну некоторые настройки привести могу.
Все что касается алгоритмов всё было скопировано 1 в 1 как и рекомендовалось в faq. Ключ прешаре тоже одинаковый.
Так что думаю с алгоритмами все понятно. Не мсысла все расписывать - берете фак и там все видно что и как.

Насчет настроек шлюзов.
Может я оригинален, но мне не нравится ваша сеть 192.168.0.0
я б ее заменил на скажем 192.168.3.0

У нас так
первое устройство
лан=192.168.1.0
маска=255.255.255.0
wan=адрес1
маска=255.255.255.240 (так сделал пров)
момед ADSL зухель омни лан ее (бридж)

второе устройство
лан=192.168.2.0
маска=255.255.255.0
wan=10.1.1.2
маска=255.255.255.0 (хотя было бы правильнее 255.255.255.255) но..?
Далее момед ADSL ZYXEL OMNI LAN EE (роутер)
его лан=10.1.1.1
его wan= динамический адрес стрим
маска =255.255.255.255

Настройка VPN-1 устр.
локаль субнет=192.168.1.0
маска=255.255.255.0
ремоут субнет=192.168.2.0
маска=255.255.255.0
ремоут гейтвей= бесплатный домен (или текущий динамический адрес
на стороне устройства 2)
Непонятный параметр IKE Keep Alive(Ping IP Address)= хз, но я думаю что 192.168.2.2 (комп внтури сетки, включенный)
Ключ= любой одинаковый ключ на обоих устройствах (из цифр)
Имя туннеля одинаковое на обоих устройствах
Агрессиве моде= включено

На втором устройстве ремоут и локаль субнет меняются местами
ремоут гейтвей= внешний адрес первого устройства= адрес1
IKE Keep Alive(Ping IP Address)= 192.168.1.254 (включенный комп из сетки 1)
Ключ= известно
Имя туннеля одинаковое на обоих устройствах
Агрессиве моде= включено

В настройках ike,ipsec proposal также указано название туннеля как и в других пунктах, оно одинаковое.


Из общих настроек
макс число туннелей=1
нетбиос бродкаст= включено
VPN= включено

Никаких портов 500 не потребовалось открывать (на втором устройстве) также они не открывались и на самих шлюзах.
Даже не понятно что за порт 500 и зачем об нем упоминается в настройках 804HV?
Даже когда я открывал этот порт то просканировал портсканнером и не нашел такого открытого порта ни у себя ни на удаленном устройстве.

Для того чтоб поднять туннель надо дать пинг на включенный удаленный компьютер. Если все выключены то туннель не поднимется.

Это вроде всё. Если что спрашивайте.

Вот еще-
сегодня были длительные отказы в поднятии туннеля и чем это было вызвано абсолютно непонятно. Просто около часа туннель не поднимался, хотя пинг на удаленный хост был. Потом поработал 3-5 минут, вырубился и опять 2 часа не поднимался. Потом снова заработал. Может в вашем случае происходит что-то похожее?
Во всяком случае это надо иметь ввиду.
Правда я грешу на дальность трассы туннеля, на удаленном конце длинный пинг до 850мс доходит. Возможно из-за этого провалы в обслуживании.

Я так понимаю, что если у Вас был пинг, то сам тоннель работал. Может, просто из за задержек нетбиос не успевал срабатывать ? Обычно это излечимо отключкой раздачи нетбиос и установкой индивидуального фтп-шника, чтобы по ай-пи работал. И еще: насколько я понимаю, для поднятия тоннеля надо пинговать именно _компьютер_ в сети ? Локальный адрес роутера пинговать нельзя ? И что будет, если локальный комп вырубится, а роутер останется работать - тоннель разорвется ?

ЗЫ: Настройки у Вас, в принципе, ничем не отличаются от моих, разве только динамичным айпишником. Странно, что все таки не работает. Файрволл я вообще отключил, как и все фильтры. Может, разница из-за прошивок ? 2модератор: прошивки 1.40 и 1.38 между собой по впн состыковываются ?

А я вчера всё протестировал.
Туннель действительно работает
нетбиос работает- после корректировки настроек поисковых программ
(пинг таймаут 1000мс) все стало работать и сетевое окружение было найдено. Практически только скорость в канале низкая, но она и вообще низкая по нашей трассе.
С подвисаниями буду бороться, думаю даже питание у длинка проверить. он часто виснет пока холодный.
а новый на другой стороне не виснет!

Пробовал даже ситуацию когда один чел работает с моими файлами через туннель ipsec, а второй чел одновременно подключается по рртр
и тоже работает с файлами. Как ни странно всё работало, но в конце концов повисло- внешний порт длинка перестал отвечать.
туннель ipsec упал. я хотел перезагрузиться по горячему, два раза это делал и не помоголо. инет отвалился. и вдруг оказалось что ipsec туннель работоспособен- он поднялся как ни в чем не бывало и работал. А связи с интернет при этом не было!!! Только ребутнув длинк, выключив из розетки, все восстановил как и должно быть.

Alex BAO -мне кажется вам стоит использовать именно одинаковые прошивки в аппаратах, вероятно из-за того что они разные и нет связи!
Ну и пинганите внешние адреса гейтвеев, вдруг какой-то недоступен?
всяко бывает.

to Alex BAO - у вас правило "deny 1" не пропускает (isakmp 500/udp ike #Internet Key Exchange). И прошивки д.б. одинаковые
to geran2004 - в форуме я уже писал, что нужно сделать для просмотра сети через VPN

Alex BAO
вот сегодня проверил- туннель запросто поднимается от пинга на адрес сервера, т.е. внутренний адрес удаленного длинка.
Даже получается вызвать по http (s) его менюшку. вводишь данные авторизации и... затык. Вроде начинает качать свой вэб интерфейс и никак не прокачает.
Действительно из-за длинного пинга проги не могут сообразить быстро.
Это вылечилось увеличением пинг таймаут =1000мс

Большое спасибо Крутицкому Сергею, но я уже все нашел что искал.

Прояснилась досадная оборотная медаль включения VPN (до этого не было)
Создал правило для доступа приложения в интернет. Включил правило и потом выключил. После этого прервалась связь с интернетом. Вылечилось только снятием питания. fw=1.40

Есть ли новые, более устойчивые прошивки и где скачать?