добрый день

возникла такая проблема.
есть офис, в офисе dfl-800. есть 40 удаленных точек, на которых DI-804\808hv. dfl-800 поднимает к удаленным шлюзам ipsec туннели.
в офисной локалке стоит радиус-сервер (MS IAS). я хочу аутентифицировать пользователей на нем с точек доступа, котрые установленны за DI-ми.
но по какой-то, пока неведомой причине, запрос на радиус приходит, если запрос не отвечает политикам доступа. то раиус его отшивает, добавляя запись в лог, если же запрос отвечает политикам - то в логах пусто, аутентифиация не происходит. как будто ответ на точку доступа не доходит.
при этом, та же точка доступа, установленная в локальной сети офиса, нормально аутентефицирует. так же она нормально работает, если в офисе поставить еще один роутер, а за ним точку доступа (то есть, если она за "чистым" натом).
соответственно, нет ли у кого-нибудь идей, куда копать, дабы таки все работало, как хотелось?)
в офисе подсеть 10.0.0.0, на удаленных точках - 10.0.x.0. для ипсек туннелей работает правило allow на dfl-е. пробовал добавлять правило типа NAT в обе стороны, пробовал пробрасывать порт радиуса 1812 правилом типа SAT.. может я чо-то делаю не так?)

ну и вопрос, есть ли у DI-ев NAT на ipsec-туннелях? может с этим как-то связанно..
заранее спасибо

DI никаких NAT в туннели не делает.

Чтобы разобраться, попробуйте поснифать трафик командой pcapdump из консоли.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

из консоли dfl-я?

попробовал. получил:

<IpSec_Dynamic: IPv0 Packet (IHL:0). Cannot decode contents.
------------------------------------------------------------------------------
<IpSec_Dynamic: IPv0 Packet (IHL:0). Cannot decode contents.
------------------------------------------------------------------------------
<IpSec_Dynamic: IPv0 Packet (IHL:0). Cannot decode contents.
------------------------------------------------------------------------------

направление зависит от выбора фильтра...

проблема еще актуальна...

Получили вы на каком уровне? Чем именно получили?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

сделал pcapdump на нужном интерфейсе ipsec

Вы знаете, мне лично ни-че-го не говорят выдернутые из контекста и пакетов сообщения об ошибках. Кто их отправил? На каком уровне? По какому протоколу?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

это я сниффаю траффик на интерфейсе туннеля ипсек, фильтруя запросы к радиус-серверу
в принципе, даже если не фильтровать запросы - получаем от же самое, только больше =)
есть подозрение, что сниффер простоне расшифровывает зашифрованные пакеты

но я посниффал еще траффик на радиусе. что интересно - если запрос отвечает требованием политики - то он проходит, а ответ радиус-сервер не дает. если не отвечает - то радиус говорит об отказе, и пишет этот отказ в логи, и ответ проходит.

попробовал еще как енд-поинт другую железку (draytek vigor) и в качестве клиента точку доступа trendnet. тож самое

скорее всего проблема либо в туннеле дфл-я, либо в радиус-сервере..

Вы же на стыке IPsec снифаете, внутри туннеля все можно посмотреть.
Запустите Wireshark на сервере с RADIUS, смотрите ответил ли.
С DFL теоретически может быть проблема только с MTU туннеля. Попробуйте его увеличить.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

хорошо. вот у меня есть ифейсы - lan, wan, Ipsec. на каком мне запускать? или просто фильтровать запросы к радиусу?

сниффер на радиусе я запускал, результат написал выше

По снифингу на сервере - получается сервер не отвечает там где должен? А если точку поставить рядом?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc