1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 01:02

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
MikhailX
СообщениеДобавлено: Пт янв 16, 2009 16:10 
Не в сети

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118
Уважаемые разработчики, подскажите пожалуйста решение в такой ситуации:

Уже настроено и работает IPSEc L2TP соединение на WAN 1

По аналогии настраиваю соединение на WAN2 (IPSec транспорт, L2TP сервер.

Правило маршрутизации inbound_wan2 wan2 all-nets any all-nets all_services,
SourceInterface: wan2
SourceNetwork: all-nets
DestinationInterface: any
DestinationNetwork: all-nets

проверил работает.) Можно подключиться например к VNC серверу и по WAN1 и по WAN2.

Однако если пробовать подключаться IPSec к WAN2 - ответ приходит от WAN1, естественно соединение не устанавливается.

Какое нужно дополнительное правило маршрутизации?


Последний раз редактировалось MikhailX Пн янв 19, 2009 12:46, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
MikhailX
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 09:35 
Не в сети

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118
up
Вернуться наверх
 Профиль  
 
Темный Ангел
СообщениеДобавлено: Пн янв 19, 2009 12:43 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
MikhailX писал(а):
Какое нужно дополнительное правило маршрутизации?

маршрут до удаленных узлов через ван2
Вернуться наверх
 Профиль  
 
MikhailX
СообщениеДобавлено: Пн янв 19, 2009 12:48 
Не в сети

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118
Темный Ангел писал(а):
маршрут до удаленных узлов через ван2

удаленные узлы динамические
Вернуться наверх
 Профиль  
 
Темный Ангел
СообщениеДобавлено: Пн янв 19, 2009 13:49 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
MikhailX писал(а):
удаленные узлы динамические

ну "повезло" вам
-- либо пробрасывайте на подсети целиком
-- либо пробуете альтернативную таблицу маршрутов для вашего трафика (скажем весь IPSec идет только на ван2)
Вернуться наверх
 Профиль  
 
MikhailX
СообщениеДобавлено: Пн янв 19, 2009 14:23 
Не в сети

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118
Темный Ангел писал(а):
-- либо пробуете альтернативную таблицу маршрутов для вашего трафика (скажем весь IPSec идет только на ван2)

Name: IPsec_transport_wan2
Source interface: IPsec_transport_wan2
Source network: all-nets
Destination interface: wan1
Destination network: all-nets
Service: all_services

Forward Table: ISP2
Return Table: main

Я уже разделил IPSec и L2TP сервера, у меня их по паре, только правила аутентификации общие.
можно так?

ps. Странно что входящий на wan2 ipsec трафик автоматически не заворачивается, у меня есть для этого маршрут.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 16:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Измените правило так

Name: IPsec_transport_wan2
Source interface: any
Source network: all-nets
Destination interface: wan2
Destination network: all-nets
Service: all_services

Forward Table: ISP2
Return Table: ISP2

при этом ISP2 должна выглядеть так:

wan2 - all-nets -wan2_gw

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
MikhailX
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 20, 2009 12:25 
Не в сети

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118
Sergey Vasiliev писал(а):
Измените правило так

Name: IPsec_transport_wan2
Source interface: any
Source network: all-nets
Destination interface: wan2
Destination network: all-nets
Service: all_services

Forward Table: ISP2
Return Table: ISP2

при этом ISP2 должна выглядеть так:

wan2 - all-nets -wan2_gw


Очень странно себя ведут правила маршрутизации, то я вижу ответ от устройства, то нет., сейчас появилось свободное время, ищу причину ошибки. По первому каналу все работает как часы. По второму иногда вот такая ошибка:


Цитата:
2009-02-20
13:01:29 Warning IPSEC
1802022

ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="195.161.x.x ID No Id" remote_peer="83.237.x.x ID No Id" initiator_spi="ESP=0x64ee2877, AH=0x4da77cbd, IPComp=0xf4c86365"
2009-02-20
13:01:29 Warning IPSEC
1802715


event_on_ike_sa

side=Responder msg="failed" int_severity=6
2009-02-20
13:01:29 Warning IPSEC
1800107


ike_invalid_proposal

local_ip=195.161.x.x remote_ip=83.237.x.x cookies=64ee28774da77cbdf4c86365ef5cc700 reason="Could not find acceptable proposal"
2009-02-20
13:01:29 Warning IPSEC
1802717


ipsec_sa_selection_failed
no_ipsec_sa_selected
reason="Invalid proposal" int_severity=6
2009-02-20
13:01:29 Warning IPSEC
1802715


event_on_ike_sa

side=Responder msg="failed" int_severity=6


195.161.x.x - это второй выделенный канал WAN2, кроме того есть PPTP/L2TP Servers: L2TP_Over_IPsec_wan2 и IPsec: IPsec_transport_wan2

в основном 2 ошибки и соединение не устанавливается, хотя ответ от устройства виден.
Цитата:
2009-02-20
13:10:34 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="195.161.x.x ID No Id" remote_peer="83.237.x.x ID No Id" initiator_spi="ESP=0x93415731, AH=0xe047a709, IPComp=0xc8d1e32d"
2009-02-20
13:10:34 Warning IPSEC
1802715


event_on_ike_sa

side=Responder msg="failed" int_severity=6


Маршруты
Цитата:
main
Route wan1 wan1net 90 Yes
Route wan1 all-nets wan1_gw 90 Yes
Route wan2 wan2net 100 No
Route wan2 all-nets wan2_gw 100 No
Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
Route lan lannet 100 No Direct route for network lannet over interface lan.
rostelecom
Route wan2 all-nets wan2_gw 90 Yes
Route wan1 all-nets wan1_gw 100 No
Route wan2 wan2net 90 Yes


Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 20, 2009 14:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Дело в том, что в вашем случае у вас оба тонеля IPSec в транспортном режиме настроены динамически, поэтому если у вас уже есть установленное l2tp over IPSec соединение чезет wan1 то вы не сможете поднять второе через wan2, или наоборот, последующие соединения могут пониматься только через указанный wan. это недостаток dynamic L2TP over IPSec.

P.S. балансировку ожидаем в конце этого месяца начале или середине следующего.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
MikhailX
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 20, 2009 15:16 
Не в сети

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118
Sergey Vasiliev писал(а):
Дело в том, что в вашем случае у вас оба тонеля IPSec в транспортном режиме настроены динамически, поэтому если у вас уже есть установленное l2tp over IPSec соединение чезет wan1 то вы не сможете поднять второе через wan2, или наоборот, последующие соединения могут пониматься только через указанный wan. это недостаток dynamic L2TP over IPSec.

P.S. балансировку ожидаем в конце этого месяца начале или середине следующего.


Понятно, спасибо! Если других вариантов нет, буду ждать прошивку.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 571

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB