faq обучение настройка
Текущее время: Вс июл 20, 2025 02:31

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Чт авг 19, 2010 12:23 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
Добрый день!
Не получается настроить маршрутизацию между DI-808HV и удаленными подсетями, находящимися за "remote network" DI-808HV.
DI-808:
---------LAN 10.24.5.0
---------"local network" (для VPN IPsec) 10.24.5.0
---------"remote network" (для VPN IPsec) 10.24.1.0
---------route 10.24.1.0 /24 за "remote Gateway" (внешний IP Cisco)
---------route 10.99.0.0 /16 за "remote Gateway" (внешний IP Cisco)
Удаленный маршрутизатор Cisco:
---------10.24.1.0/24 is directly connected
---------ip route 0.0.0.0 0.0.0.0 x.x.x.1 (внешний IP Cisco)
---------ip route 10.24.5.0 /24 z.z.z.1 (внешний IP DI-808HV)
---------ip route 10.99.0.0 /16 10.24.1.49 (Ip адрес шлюза на сеть 10.99.0.0 /16)

с DI-808HV пингуется сеть 10.24.1.0 на Cisco, но не пингуется сеть 10.99.0.0
c Cisco пингуется и DI-808HV и 10.99.0.0

Помогите, пожалуйста, разобраться!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 14:17 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Какие сети указаны в параметрах IPsec туннеля с обоих сторон?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 15:19 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
со стороны DI-808HV я написал выше. а на Cisco по другому настраивается ipsec... без указания сети, только peer IP address.
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxx address z.z.z.1 #(внешний IP DI-808HV)
!
!
crypto ipsec transform-set YYYYY esp-3des
!
crypto map MapName 10 ipsec-isakmp
set peer z.z.z.1
set security-association lifetime seconds 28800
set transform-set YYYYY
set pfs group2
match address 101
!
!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 15:46 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Коли у вас remote network = 10.24.1.0/24, как в туннель пойдут пакеты для 10.99.0.0/16 ? Поставьте в параметрах IPsec на DI remote network 10.0.0.0/8

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 18:55 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
Ставил!!! Так даже 10.24.1.0 не пингуется...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 19:09 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
Любопытный факт кстати:
Когда первый раз сделал так, 10.99.0.0 запинговалась с DI!!!!!, я радостный поправил таблицу маршрутизации, роутер перезагрузился и пинг пропал (вместо двух узких маршрутов на 10.24.. и 10.99.. написал один общий на 10.0.0.0)
После чего пробовал и так и сяк? ,без результатно - только пишу remote network в ipsek 10.0.0.0 255.0.0.0 перестает пинговаться 10.24.1.0 да и локалка 10.24.5.0 тоже.
А перестает пинговаться, возможно, потому что в этом случае локальная сеть у DI 10.24.5.0 пересекается с удаленной 10.0.0.0???
Что это было? безвозвратный глюк?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 20:44 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вообще, я делал так, только сеть была 192я - работало.
Там нигде в DI нет метрики на интерфейс lan ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 04:59 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
Хорошо! Попробовал еще раз...
Remote network 10.0.0.0 255.0.0.0
Пингуется локалка 10.24.5.0
Пингуется 10.99.0.0
Не пингуется 10.24.1.0

ребутнул - картина с пингами такая же.
добавил маршрут (10,24,0,0 255,255,0,0 x.x.x.1), перестало пинговаться все!
Удалил этот маршрут - картина восстановилась, но не сразу (через 5 минут)

на данный момент мои маршруты следующие:
------10.24.1.0------255.255.255.0------x.x.x.1
------10.99.0.0------255.255.0.0---------x.x.x.1

Почему нет пинга на 10.24.1.0?
Почему изменение маршрута на сеть 10.24... влияет на доступность сети 10.99?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 05:02 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
метрику на интерфейс lan не нашел.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 05:19 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
А какая маска на lan ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 05:41 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
10.24.5.48 /255.255.255.240
Маршруты заменил на один общий 10.0.0.0 ... картина пингов такая же.
Не пингуется только 10.24.1.48 /28


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 07:05 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
К сожалению, средства мониторинга DI оставляют желать лучшего
Посмотрите на вашей кошке, пакеты из туннеля приходят или нет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 07:56 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
но ведь 10.99.0.0 находится за тунелем! значит ходят!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 08:20 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Если проблема с 10.24.1.48/28, то проверяйте таки его. Лучше перепроверить, чем потом окажется, что проблема совсем не там, где ее ищут :D

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 08:32 
Не в сети

Зарегистрирован: Чт авг 19, 2010 11:57
Сообщений: 24
Возможно и на cisco проблема.
Странно еще то что на ней маршрут указан в конфиге
---------ip route 10.24.5.48 /28 z.z.z.1 (внешний IP DI-808HV)
но:
---------show ip route 10.24.5.48
---------Subnet not in table
или по Cisco Вы не в курсе?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 232


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB