1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт авг 26, 2025 17:43

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
iura3
 Заголовок сообщения: DFL-800 -- IPSec клиент в периметре
СообщениеДобавлено: Чт июл 15, 2010 09:16 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
Здравствуйте!

Есть сеть, защищённая DFL-800. Один из клиентов внутри этой сети должен соединяться с внешним IPSec сервером. Теоретически, если разрешить для этого клиента nat-t, то в дополнительных настройках, шлюз не нуждается. Но клиент вылетает с ошибкой согласования уровня безопасности.

ВОПРОС! Есть ли где-нибудь, how-to по настройке DFL-800 для разрешения ipsec туннелей у клиентов, внутри периметра? Можно даже на английском.
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 07:05 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
UP!
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 07:25 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вам достаточно сделать для вашего клиента NAT правило с сервисом ipsec-suite выше правила allow_standart.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 08:09 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
danilovav писал(а):
Вам достаточно сделать для вашего клиента NAT правило с сервисом ipsec-suite выше правила allow_standart.

Код:
DFL-800:/> show iprule

IPRule, IPRuleFolder/

    #  Name      Action  SrcIf    SrcNet    DestIf  DestNet      Service
   --  --------  ------  -------  --------  ------  -----------  --------------
    1  IPSEC...  NAT     VLAN_5   ACL/T...  SZT     ACL/Sigm...  ipsec-suite
    2  All_NAT   NAT     VLAN_5   ACL/S...  SZT     all-nets     all_tcpudpicmp
    3  NTP       NAT     VLAN_5   ACL/FS20  Uplink  all-nets     ntp


Код:
DFL-800:/> show iprule IPSEC_VES

              Property  Value
 ---------------------  -------------------------------------------
                Index:  1
                 Name:  IPSEC_VES
               Action:  NAT
      SourceInterface:  VLAN_5
        SourceNetwork:  ACL/Temporary
 DestinationInterface:  SZT
   DestinationNetwork:  ACL/Sigma_Soft_VPN
              Service:  ipsec-suite
             Schedule:  <empty>
            NATAction:  UseInterfaceAddress (Use interface address)
           LogEnabled:  Yes
          LogSeverity:  Debug
             Comments:  <empty>


При запуске подключения, в лога вообще пусто по этому правилу.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 08:53 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
А выше правила нет, которое может перекрывать? Да и вообще, в Status > Connections видна попытка подключения?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Cranium
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 11:12 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
а чем клиент подключается с удаленному серверу?
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 11:51 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
Cranium писал(а):
а чем клиент подключается с удаленному серверу?
Стандартное подключение VPN в Windows XP. Всё по руководству поставщика сервиса.

http://www.sigma-soft.ru/production/man ... pvpn.shtml
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 11:57 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
danilovav писал(а):
А выше правила нет, которое может перекрывать?
ИМХО, выше правила с индексом 1 может быть только правило с инексом 0. А такого правила в листинге нет.
danilovav писал(а):
Да и вообще, в Status > Connections видна попытка подключения?
Есть, 2 подключения UDP на 500 4500 порт. Просто тупо вылетают по тайм-ауту. Причём подключение на клиенте вылетает при открытых прдлючениях на DFL.
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 12:00 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
Вдогонку. Ошибка на клиенте - 792 (истекло время время ожидания согласования уровня безопасности)
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Пн июл 19, 2010 13:44 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
В саппорте сказали что нужно разрешить двусторонний обмен пакетами по ipsec. Создал правило с индексом "2", не помогло:

Код:
DFL-800:/> show iprule IPSEC_IN

              Property  Value
 ---------------------  -------------------------
                Index:  2
                 Name:  IPSEC_IN
               Action:  Allow
      SourceInterface:  SZT
        SourceNetwork:  ACL/Sigma_Soft_VPN
 DestinationInterface:  core
   DestinationNetwork:  InterfaceAddresses/SZT_ip
              Service:  ipsec-suite
             Schedule:  <empty>
           LogEnabled:  Yes
          LogSeverity:  Debug
             Comments:  <empty>


Код:
DFL-800:/> show access Sigma-Soft

     Property  Value
 ------------  ------------------
       Index:  7
        Name:  Sigma-Soft
      Action:  Accept
   Interface:  SZT
     Network:  ACL/Sigma_Soft_VPN
  LogEnabled:  Yes
 LogSeverity:  Debug
    Comments:  <empty>
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пн июл 19, 2010 15:18 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Не надо двухсторонних, NAT-T должен все обрабатывать...

Такое ощущение, что IPsec у вас не поднимается... Без DFL - работает? На DFL надеюсь белый адрес?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
iura3
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 20, 2010 10:19 
Не в сети

Зарегистрирован: Пн янв 28, 2008 10:49
Сообщений: 93
danilovav писал(а):
Не надо двухсторонних, NAT-T должен все обрабатывать...
Это мне их саппорт такое насоветовал. Я просто не знаю что ещё придумать.
danilovav писал(а):
Такое ощущение, что IPsec у вас не поднимается... Без DFL - работает? На DFL надеюсь белый адрес?
На DFL белый адрес, без DFL не пробовал.

Может всё-таки есть где-нибудь статья по этому поводу? Пусть даже на английском.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 20, 2010 10:49 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Нет статей т.к. момент простейший.

В свое время, когда я разбирался с L2TP over IPsec, я ходил из-за DFL через NAT - все отлично работало.

По возможности я попробую повторить конфиг, но не быстро...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Cranium
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 20, 2010 12:23 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
самый простой способ исключить из цепи DFL и убедитсья в правельности настроек клиента - включить допустим ноутбук напрямую в и-нет (в замен DFL) или с другого белого Ип(из дома например , если на работе 1 белый и нельзя на 5 минут выключить DFL), и проверить подключение.

теоретически достаточно 1го правила для ipsec_suite., так что врятли проблема в дфл., (а практически даже его и ненадо , L2tp over IPSEC работает со станадрным all_tcpudp..).
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 20, 2010 12:34 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Практически - надо т.к. для IPsec надо ESP, который далеко не TCP/UPD...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 29

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB