faq обучение настройка
Текущее время: Пт июл 18, 2025 20:01

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Пн мар 15, 2010 14:49 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
При попытке поднятия ИПСек канала(между двумя дфл210 прошивки 26), он вроде как поднимается, но не работает, залазишь чтобы посмотреть IPsec IKE Status а там каждые 5 секунд появляется новая строчка и так до посинения их там сотни и сотни. Какая нужна информация, чтобы разрешить данную нелёгкую задачку.

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 15:04 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
Вообщем выяснил из-за чего это происходит. Из-за мониторинга маршрутов IPsec. Подскажите пожалуйста тогда как лучше сделать? Есть один DFl-210 у него два провайдера. Есть второй DFL-210 на котором один провайдер и на котором надо настроить, чтобы в случае отваливания одного провайдера на первом ДФЛ, он создавла ИПсек через второго провайдера первого ДФЛ-210. Как настроить мониторинг живойго ипсек канала. Если я его включаю начинаются задвоения. Что не так, куда копать?

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 16:30 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Попробуйте на стороне с одним провайдером в remote endpoint указать группу из двух адресов другого DFL. А на стороне двух провайдеров оставьте всего один IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 17:46 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
При таком раскладе, выплывает какой-то левый гетэвэй (как я понял ип адрес какого-либо внутреннего компьютреа из сети назначения). ОТКУДА?! я уже в ступпоре.

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 19:12 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Тогда со стороны DFL с одним провайдером делайте динамический IPsec и подключайтесь к нему с того DFL, который с двумя провайдерами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 16, 2010 09:21 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
При таких настройках заработало. Но это же не совсем правильно. Как же всё таки настроить так как надо, чтобы только с этими ИП соединялся? Может какую-нибудь инструкцию наваять.

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 16, 2010 09:27 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Инструкция возможна только когда будет "стопудовое" решения. Над которым только идет работа...

У меня есть аналогичная вашей конфигурация, я поиграюсь...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 16, 2010 09:35 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
andrace писал(а):
Как же всё таки настроить так как надо, чтобы только с этими ИП соединялся?
зайдите в interfaces/ipsec/advanced settings и снимите галку "ipsec before rules"


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 16, 2010 09:37 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Ну, написать-запретить доступ через один WAN конечно можно. Но тогда уж проще добавить статический роутинг через WAN до remote endpoint.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 16, 2010 09:51 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
danilovav писал(а):
Но тогда уж проще добавить статический роутинг через WAN до remote endpoint.
если провайдер один, то зачем маршрут ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 16, 2010 12:03 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
Категорически ждём "стопудового решения"

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 17, 2010 17:09 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
Проблема стала актуальней некуда. Поделитесь кто может своими наработками.

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 17, 2010 19:04 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
andrace писал(а):
Проблема стала актуальней некуда. Поделитесь кто может своими наработками.

т.к вы не описали своих начальных настроет на обоих дфл, тяжело понять что вам предложить.

Могу сказать одно - когда в remote_gw указана группа адресов или CIDR - проблем с этим нет, у меня так в один тунель в HQ подключалось около 40 удалённых. без каких либо особых проблем. Т.е вариант с 1 тунелем на дфл с 1 провомм и 2 тунелями на другом должен отрабатыватся, вопрос в том как вы там настроили мониторинг маршрута (где 2 провайдера) и сам failover в целом.

Или же обратный вариант: делаете по 2 тунеля и там и там, там где 1 провайдер - в IPSEC убираете автомаческое добавлние маршрута, руками делаете 2 роута , мониторите их по удаленным GW второго дфл. НА 2м дфл, в обоих тунелях так же убираете автоматические маршруты в удаленную сеть., и ставите добавлять динамически (закладка роутинг - галка : Allow DHCP over IPsec from single-host clients).
Никакие маршруты нигде не мониторите, всё делает первый дфл.
Вопрос опять в правильных натройках самого failover между 2х провайдеров.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 18, 2010 11:40 
Не в сети

Зарегистрирован: Пт авг 11, 2006 08:53
Сообщений: 161
Откуда: Люберцы
скажи, Cranium а у тебя в этот один который для каждого удалённого тунеля был разный пароль? Сейчас попытаюсь проверить это теорию на практике, думается что может это и есть решение задвоения каналов. Настройки опишу позже

_________________
3 DFL-800, 33 DFL-210, 1 DFL-260, 1 DIR-655б 2 DFL-260E. И другого хлама помаленьку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 18, 2010 11:41 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
andrace писал(а):
скажи, Cranium а у тебя в этот один который для каждого удалённого тунеля был разный пароль? Сейчас попытаюсь проверить это теорию на практике, думается что может это и есть решение задвоения каналов. Настройки опишу позже

как же они подключались бы в один тунель с разными паролями... =) , конечно везде один (если речь о pre-shared-key).


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 578


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB