1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 29, 2025 21:54

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 20 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
keen0
 Заголовок сообщения: DFL-210 и DI-824VUP+ IPSec туннель
СообщениеДобавлено: Пт апр 24, 2009 15:29 
Не в сети

Зарегистрирован: Пн мар 16, 2009 20:18
Сообщений: 29
НЕ РАБОТАЕТ туннель между DFL-210 и DI-824VUP+
Все сделано по инструкции http://dlink.ru/ru/faq/92/520.html
Раньше он работал между двумя DI-824VUP+
Вот логи с DFL-210

    2009-04-24 16:19:23 Warning IPSEC
    01800106 ike_invalid_payload
    rev=1 local_ip=x.x.x.x remote_ip=y.y.y.y cookies= reason="IKE_INVALID_COOKIE"

    2009-04-24
    16:19:23 Info IPSEC
    01802708 ike_sa_destroyed ike_sa_killed
    rev=1 ike_sa= Initiator SPI ESP=0x7b5773cc, AH=0x5ac57ac6, IPComp=0x6a941bb

    2009-04-24 16:19:23 Warning IPSEC
    01802022 ike_sa_failed no_ike_sa
    rev=2 statusmsg="Invalid payload type" local_peer=x.x.x.x ID No Id remote_peer=y.y.y.y ID No Id
    initiator_spi=ESP=0x7b5773cc, AH=0x5ac57ac6, IPComp=0x

    2009-04-24 16:19:23 Warning IPSEC
    01802715 event_on_ike_sa
    rev=1 side=Responder msg="failed" int_severity=6

    2009-04-24 16:19:23 Warning IPSEC
    01800106 ike_invalid_payload
    rev=1 local_ip=x.x.x.x remote_ip=y.y.y.y cookies=7b5773cc5ac57ac66a941bb4c6032b6a reason="Invalid
    payload type in encrypted payload chain, possibly because of di

    2009-04-24 16:19:23 Info CONN
    00600001 IPsecBeforeRules UDP wan core y.y.y.y x.x.x.x 500 500 conn_open
    rev=1 conn=open


ПОМОГИТЕ пожалуйста....
Вернуться наверх
 Профиль  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 10:08 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Тоже все сделано по интструкции и не работает
Может кто подскажет почему
логи с 804
Thursday July 02, 2009 19:09:47 Send IKE M1(INIT) : 192.168.3.2 --> 192.168.111.10
Thursday July 02, 2009 19:09:47 Receive IKE M2(RESP) : 192.168.111.10 --> 192.168.3.2
Thursday July 02, 2009 19:09:47 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Thursday July 02, 2009 19:09:47 Send IKE M3(KEYINIT) : 192.168.3.2 --> 192.168.111.10
Thursday July 02, 2009 19:09:47 Receive IKE M4(KEYRESP) : 192.168.111.10 --> 192.168.3.2
Thursday July 02, 2009 19:09:47 Send IKE M5(IDINIT) : 192.168.3.2 --> 192.168.111.10
Thursday July 02, 2009 19:09:47 Receive IKE INFO : 192.168.111.10 --> 192.168.3.2
Thursday July 02, 2009 19:09:47 Send IKE (INFO) : delete 192.168.3.2 -> 192.168.111.10 phase 1
Thursday July 02, 2009 19:09:47 IKE phase1 (ISAKMP SA) remove : 192.168.3.2 <-> 192.168.111.10
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 10:10 
Прошивка какая на di?
Вернуться наверх
  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 10:17 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Stanislav Kozlov писал(а):
Прошивка какая на di?
У меня собственно DI-804HV с прошивкой 1.44b11
Не захотел темы плодить потому отписался в этой
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 10:21 
для начала поставьте эту прошивку
ftp://dlink.ru/pub/Router/DI-804HV/Firm ... .51b03.BIN
Вернуться наверх
  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 10:23 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Stanislav Kozlov писал(а):
для начала поставьте эту прошивку
ftp://dlink.ru/pub/Router/DI-804HV/Firm ... .51b03.BIN
попробую думаете поможет
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 10:29 
rev=1 local_ip=x.x.x.x remote_ip=y.y.y.y cookies=7b5773cc5ac57ac66a941bb4c6032b6a reason="Invalid
payload type in encrypted payload chain, possibly because of di

думаю, что да, в установленной Вами прошивке были проблемы с IPSec
Вернуться наверх
  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 11:00 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Stanislav Kozlov писал(а):
rev=1 local_ip=x.x.x.x remote_ip=y.y.y.y cookies=7b5773cc5ac57ac66a941bb4c6032b6a reason="Invalid
payload type in encrypted payload chain, possibly because of di

думаю, что да, в установленной Вами прошивке были проблемы с IPSec
Просто когда я цепляю прямым кабелем все работает в лабораторных условиях
как только разнеслось перестало цепляться
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 11:03 
Адреса реальные? Попробуйте задействовать aggressive mode + natT
Вернуться наверх
  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 11:21 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Stanislav Kozlov писал(а):
Адреса реальные? Попробуйте задействовать aggressive mode + natT
адреса такие и есть :)
агресив не помогает хотя как на 210 включить агресив мод
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 11:25 
вот тут:


Вложения:
19.png
19.png [ 28.99 KiB | Просмотров: 3701 ]
Вернуться наверх
  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 13:11 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Не помогло :( надо ехать перешивать
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 13:20 
перед тем как ехать соберите более детальную информацию о туннелях.
Для этого зайдите на устройство по ssh/rs232 и выполните следующую команду
ikes -on -v <проблемный IP>
Устройство будет показывать все стадии и проанализировав этот лог можно будет найти проблему.
Вернуться наверх
  
 
CrAlex
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 14:23 
Не в сети

Зарегистрирован: Ср апр 25, 2007 12:49
Сообщений: 124
Сделал получил вот такой снуп
Код:
Ike snooping is active - verbose mode; snooping address 192.168.3.2
2009-05-19 15:21:40: IkeSnoop: Received IKE packet from 192.168.3.2:500
Exchange type  : Aggressive
ISAKMP Version : 1.0
Flags          :
Cookies        : 0x694e9c4abde4e7e -> 0x00000000
Message ID     : 0x00000000
Packet length  : 276 bytes
# payloads     : 5
Payloads:
  SA (Security Association)
    Payload data length : 56 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ISAKMP
          SPI Size                   : 4
            SPI Value                : 0x6b140010
          Transform 1/1
            Transform ID             : IKE
            Encryption algorithm     : 3DES-cbc
            Hash algorithm           : MD5
            Authentication method    : Pre-Shared Key
            Group description        : MODP 1024
            Life type                : Seconds
            Life duration            : 28800
  KE (Key Exchange)
    Payload data length : 128 bytes
  NONCE (Nonce)
    Payload data length : 20 bytes
  ID (Identification)
    Payload data length : 8 bytes
    ID : ipv4(any:0,[0..3]=192.168.3.2)
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 7d 94 19 a6 53 10 ca 6f 2c 17 9d 92 15 52 9d 56
    Description : draft-ietf-ipsec-nat-t-ike-03
2009-05-19 15:21:40: IkeSnoop: Sending IKE packet to 192.168.3.2:500
Exchange type  : Aggressive
ISAKMP Version : 1.0
Flags          :
Cookies        : 0x694e9c4abde4e7e -> 0xd99d811df29e1e66
Message ID     : 0x00000000
Packet length  : 468 bytes
# payloads     : 15
Payloads:
  SA (Security Association)
    Payload data length : 52 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ISAKMP
          SPI Size                   : 0
          Transform 1/1
            Transform ID             : IKE
            Encryption algorithm     : 3DES-cbc
            Hash algorithm           : MD5
            Authentication method    : Pre-Shared Key
            Group description        : MODP 1024
            Life type                : Seconds
            Life duration            : 28800
  KE (Key Exchange)
    Payload data length : 128 bytes
  NONCE (Nonce)
    Payload data length : 16 bytes
  ID (Identification)
    Payload data length : 8 bytes
    ID : ipv4(any:0,[0..3]=192.168.111.10)
  HASH (Hash)
    Payload data length : 16 bytes
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 8f 9c c9 4e 01 24 8e cd f1 47 59 4c 28 4b 21 3b
    Description : SSH Communications Security QuickSec 2.1.0
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 27 ba b5 dc 01 ea 07 60 ea 4e 31 90 ac 27 c0 d0
    Description : draft-stenberg-ipsec-nat-traversal-01
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 61 05 c4 22 e7 68 47 e4 3f 96 84 80 12 92 ae cd
    Description : draft-stenberg-ipsec-nat-traversal-02
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 44 85 15 2d 18 b6 bb cd 0b e8 a8 46 95 79 dd cc
    Description : draft-ietf-ipsec-nat-t-ike-00
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : cd 60 46 43 35 df 21 f8 7c fd b2 fc 68 b6 a4 48
    Description : draft-ietf-ipsec-nat-t-ike-02
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 90 cb 80 91 3e bb 69 6e 08 63 81 b5 ec 42 7b 1f
    Description : draft-ietf-ipsec-nat-t-ike-02
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : 7d 94 19 a6 53 10 ca 6f 2c 17 9d 92 15 52 9d 56
    Description : draft-ietf-ipsec-nat-t-ike-03
  VID (Vendor ID)
    Payload data length : 16 bytes
    Vendor ID   : af ca d7 13 68 a1 f1 c9 6b 86 96 fc 77 57 01 00
    Description : draft-ietf-ipsec-dpd-00
  NAT-D (NAT Detection)
    Payload data length : 16 bytes
  NAT-D (NAT Detection)
    Payload data length : 16 bytes
2009-05-19 15:21:45: IkeSnoop: Received IKE packet from 192.168.3.2:500
2009-05-19 15:21:45: IkeSnoop: Other end retransmitted its packet
2009-05-19 15:21:50: IkeSnoop: Received IKE packet from 192.168.3.2:500
2009-05-19 15:21:50: IkeSnoop: Other end retransmitted its packet
2009-05-19 15:22:00: IkeSnoop: Received IKE packet from 192.168.3.2:500
2009-05-19 15:22:00: IkeSnoop: Other end retransmitted its packet
2009-05-19 15:22:10: IkeSnoop: Received IKE packet from 192.168.3.2:500
2009-05-19 15:22:10: IkeSnoop: Other end retransmitted its packet
2009-05-19 15:22:30: IkeSnoop: Received IKE packet from 192.168.3.2:500
2009-05-19 15:22:30: IkeSnoop: Other end retransmitted its packet
2009-05-19 15:22:31: IkeSnoop: Received IKE packet from 192.168.3.2:500


Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт май 19, 2009 14:41 
единственное что мне не нравится это
SPI Value : 0x6b140010
который появился сразу в первом IKE сообщении...
Ребутните удаленный DI и соберите лог ещё раз
Вернуться наверх
  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 20 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 226

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB