1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 09:19

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
slamich
 Заголовок сообщения: DFL-210 to ISA 2006 net-to-net
СообщениеДобавлено: Вс янв 31, 2010 23:27 
Не в сети

Зарегистрирован: Вт апр 21, 2009 15:30
Сообщений: 56
Добрый всем.

Проблема такая
Сделал тунель IPSec между DFL-210 и ISA 2006.
Тунель поднялся в информации виден все ок.
правла прописаны все ок.(разрешено всем все)
Но работать не хочет тоесть траффик не идет ни пинг ни RDP ничего..
НО если переключить SA( Security Association) на Per Host, то начинает все работать, но естественно тунели делаются для каждого хоста в локальной сети и удаленной.

Подскажите в чем может быть проблема!???

ОЧЕНЬ буду благодарен.
Спасибо!
Вернуться наверх
 Профиль  
 
slamich
 Заголовок сообщения:
СообщениеДобавлено: Пн фев 01, 2010 00:06 
Не в сети

Зарегистрирован: Вт апр 21, 2009 15:30
Сообщений: 56
Вроде разобрался как говорится сам дурак... неправильно на стороне ISA указал адрес end_point

но проблема теперь такая. из сети где ISA не идут пинги к сеть где DFL

ВЕРНЕЕ с конпьютера где ISA стоит.

DFL- 80.250.221.xxx
ISA - 80.250.214.yyy
в логах следующее
2010-02-13
03:04:17 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="80.250.221.xxx ID 80.250.221.xxx" remote_peer="80.250.214.yyy ID 80.250.214.yyy" initiator_spi="1be92034 2c489de8" responder_spi="8362abd4 1645bb5f" int_severity=6
2010-02-13
03:04:17 Info IPSEC
1802024


ike_sa_negotiation_completed

options=Responder mode="Main Mode" auth="Pre-shared keys" encryption=3des-cbc keysize= hash=sha1 dhgroup=2 bits=1024 lifetime=28800
2010-02-13
03:04:17 Info IPSEC
1803021


ipsec_sa_statistics

done=594 success=582 failed=12
2010-02-13
03:04:17 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="Aborted notification"
2010-02-13
03:04:17 Info IPSEC
1800102


ipsec_event

message=" Remote Proxy ID 80.250.214.yyy any"
2010-02-13
03:04:17 Info IPSEC
1800102


ipsec_event

message=" Local Proxy ID 192.168.201.0/24 any"
2010-02-13
03:04:17 Info IPSEC
1800102


ipsec_event

message="IPsec SA [Responder] negotiation failed:"
2010-02-13
03:04:17 Info IPSEC
1803024


xauth_exchange_done

statusmsg="Authentication failed"
2010-02-13
03:04:17 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xac45fd1e, AH=0xaeb68d88, IPComp=0x2ef98b5"
2010-02-13
03:04:17 Notice IPSEC
1800105


ike_delete_notification

local_ip=80.250.221.xxx remote_ip=80.250.214.yyy cookies=ac45fd1eaeb68d882ef98b5a6e52ebb8 reason="Received delete notification"
2010-02-13
03:04:14 Info IPSEC
1803021


ipsec_sa_statistics

done=593 success=582 failed=11
2010-02-13
03:04:14 Warning IPSEC
1800109


ike_quickmode_failed

local_ip=80.250.221.xxx remote_ip=80.250.214.yyy cookies=ac45fd1eaeb68d882ef98b5a6e52ebb8 reason="No proposal chosen"
2010-02-13
03:04:14 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2010-02-13
03:04:14 Info IPSEC
1800102


ipsec_event

message=" Remote Proxy ID 80.250.214.yyy any"
2010-02-13
03:04:14 Info IPSEC
1800102


ipsec_event

message=" Local Proxy ID 192.168.201.0/24 any"
2010-02-13
03:04:14 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="80.250.221.xxx ID 80.250.221.xxx" remote_peer="80.250.214.yyy ID 80.250.214.yyy" initiator_spi="ac45fd1e aeb68d88" responder_spi="2ef98b5a 6e52ebb8" int_severity=6
2010-02-13
03:04:14 Info IPSEC
1800102


ipsec_event

message="IPsec SA [Responder] negotiation failed:"
2010-02-13
03:04:14 Notice IPSEC
1802300


rule_selection_failed

info="No IPSec rules configured" int_severity=6
2010-02-13
03:04:14 Info IPSEC
1803001


failed_to_select_policy_rule


2010-02-13
03:04:14 Warning IPSEC
1800102


ipsec_event

message=" Remote Proxy ID 80.250.214.yyy any"
2010-02-13
03:04:14 Warning IPSEC
1800102


ipsec_event

message=" Local Proxy ID 192.168.201.0/24 any"
2010-02-13
03:04:14 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="80.250.221.xxx ID 80.250.221.xxx" remote_peer="80.250.214.yyy ID 80.250.214.yyy" initiator_spi="ac45fd1e aeb68d88" responder_spi="2ef98b5a 6e52ebb8" int_severity=4
2010-02-13
03:04:14 Warning IPSEC
1800102


ipsec_event

message="IPsec SA [Responder] negotiation failed:"
2010-02-13
03:04:14 Info IPSEC
1803024


xauth_exchange_done
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пн фев 01, 2010 06:21 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Такое ощущуние, что IPsec у вас не поднимается.

Вы allow правила для трафика сделали? Других IPsec у вас нет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
драгба
 Заголовок сообщения:
СообщениеДобавлено: Пн фев 01, 2010 10:03 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
с других компов, стоящих за ИСОй, ДФЛьные компы пингуются ?
Вернуться наверх
 Профиль  
 
mikas-khb
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 04, 2010 08:41 
Не в сети

Зарегистрирован: Пн июл 06, 2009 08:11
Сообщений: 45
Эта не баг, а фича ISA. С сервера, где установлена ISA вы даже не смоете пингануть Remote endpoint вашего тунеля.

Но вот интересно почему tracert в удалённую сеть не работает :-(
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 04, 2010 09:05 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Для трассировки сделайте правило allow ipsec/remote_net lan/lannet ping-outbound (подразумевается ICMP сервис с галкой Pass returned ICMP error messages from destination)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 224

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB