Здравствуйте!

Проблема с IPSec. Сеть устроена как на этой картинке: http://www.gliffy.com/publish/2174867/, я в сети 192.168.2.0, у DFL задействован только WAN1.

Проблема в том, что соединение, скажем, по HTTP проходит только из сети 192.168.2.0/24 в сеть 192.168.0.0/23 но не наоборот, хотя пингуется все отлично, и traceroute проходит без проблем и туда и оттуда.
Такая же (но зеркальная) ситуация с другим туннелем: соединиться можно из 192.168.4.0/24 с 192.168.2.0/24, но не наоборот. Пинги и traceroute также проходят нормально в обе стороны.

На DFL пара идентичных правил Allow для каждого из туннелей: IPSec -> локалка и локалка -> IPSec, пропускать all_services.

Что интересно, VoIP-гейтвей на моей стороне (192.168.2.25) может достучаться до удаленного гейтвея (192.168.4.3) и установить соединение (по UDP), но по HTTP на удаленный я на зайти не могу.

Подскажите пожалуйста, где искать проблему?

Антивирусы на стороне, к которой нельзя подключиться, проверяли? Часто бывают проблемы с "доверенными" сетями

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, конечно. К активному сет. оборудованию тоже не подключается. Причем еще интересная штука: скажем, пытаюсь зайти на веб-интерфейс принтера (на удаленной стороне), который просит HTTP авторизацию. У меня браузер даже показывает запрос на логин/пароль, но дальше -- тишина.

Как я вам уже на другом форуме писал, проверяйте Status > Connections. Чудес не бывает.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это вы не мне писали, на английском форуме D-Link нашел очень похожую тему судя по всему от соотечественника, но без решения.

Что именно проверять? Пакеты не отвергаются правилами, по логу -- есть сообщение connect, но дальше -- тишина (напишу подробнее вечером, скажите что посмотреть).

Status > Connections на обоих DFL показывает наличие и поддержание коннекта?

Приведите схему вашей сети с указанием адресов, между которыми не получается и получается.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Александр, спасибо за поддержку. D-Link у меня один. Схема сети указана по ссылке в первом посте. Там же на выноске (IPSec connectivity) указано какие узлы могут связаться, а какие -- нет. Здесь писать не буду, т.к. по схеме ориентироваться проще.

Наличие коннекта в статусе проверю, но, насколько сейчас помню, там пусто, хотя в логах connect проскакивает. Вечером приложу состояние коннектов и кусочек лога.

Схему не заметил, с ней все хорошо.

Для начала, давайте с B -> A. Запускайте коннект (тот же НТТР) и смотрите на DFL-800, пришел ли он из IPsec ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ок. Т.к. у меня на компе нет HTTP-сервера, прилагаю скриншоты при соединении B->D (с сервера к веб-интерфейсу VoIP-гейтвея).

IP-адреса:
95.31.9.36 - мой внешний статический IP
10.144.155.30 - динамический IP маршрутизатора в локалке провайдера

192.168.2.10 - IP маршрутизатора в моей локалке
192.168.2.25 - VoIP-гейтвей, с которым пытаюсь соединиться
192.168.2.30 - мой компьютер

192.168.0.100 - сервер, с которого пытаюсь соединиться по HTTP
192.168.0.101 - еще один сервер, шлет NetBIOS

80.251.34.66 - удаленный endpoint для туннеля "IPSec-AM" (сеть 192.168.0.0/23 на схеме)
188.114.196.20 - адрес, с которго NATится туннель "IPSec-Julia" (сеть 192.168.4.0/24 на схеме)


Соединения до попытки коннекта:


Соединения во время попытки:


Протокол:


При всем при этом из сети 192.168.4.0/24 хост 192.168.2.25 открывается по HTTP нормально

Ожидаю инструкций

Простите за глупое уточнение - а 2.25 имеет шлюзом DFL? На нем нет дополнительной маршрутизации куда то еще?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, на .2.25 прописан как гейтвей DFL. И web-интерфейс .2.25 нормально открывается в браузере из другого туннеля. Сказу скажу, что никакого ограничения доступа по IP/подсетям там нету в принципе.

Магии не бывает, надо проверять... Как минимум - попробуйте поснифать на DFL сессию. Делается это командой pcap в консоли.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ок, попробую, спасибо. В выходные еще попробую заменить один из удаленных маршрутизаторов на DFL-210.

Поднимаю древнюю тему из анналов. Проблему нашел: не проходят IP-пакеты размером больше 1402 байт. Это объясняет почему ходят пинги и работает VoIP, но не работает куча других вещей. Крутил на DFL размер MSS в настройках TCP -- результатов не дало. Что еще можно покрутить?

Проверяю так: пингую с узла А узел С с размером 1402 -- пинг проходит. Пингую с размером 1404 -- все, тишина.

Это у вас через IPsec? Попробуйте покрутить MTU туннеля.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc