D-Link • Просмотр темы - Завернуть трафик по ipsec между DFL-260E и DI-804HV

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Завернуть трафик по ipsec между DFL-260E и DI-804HV

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 3 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

evilinside

Заголовок сообщения: Завернуть трафик по ipsec между DFL-260E и DI-804HV

Добавлено: Чт май 19, 2011 14:44

Зарегистрирован: Чт май 19, 2011 14:19
Сообщений: 2

Здравствуйте, прошу помощи знающих людей.

Вкраце, есть главный офис и дополнительный. Между ними поднят ipsec , требуется завернуть весь трафик из дополнительного офиса в главный (причем из главного офиса - дополнительный офис пингуется, а наоборот нет).

Главный офис:

1 drop_smb-all Drop lan lannetAddress: 192.168.101.0/24 wan all-netsAddress: 0.0.0.0/0 smb-allDestination ports: 135-139, 445
2 allow_ping-outbound NAT lan lannetAddress: 192.168.101.0/24 wan all-netsAddress: 0.0.0.0/0 ping-outbound
3 allow_ftp-passthrough_av NAT lan lannetAddress: 192.168.101.0/24 wan all-netsAddress: 0.0.0.0/0 ftp-passthrough-avDestination ports: 21
4 allow_all_traffic NAT lan lannetAddress: 192.168.101.0/24 wan all-netsAddress: 0.0.0.0/0 all_services
5 NAT_dns_relay NAT lan lannetAddress: 192.168.101.0/24 core lan_ipAddress: 192.168.101.254 dns-allDestination ports: 53
6 SAT_dns1_relay SAT lan lannetAddress: 192.168.101.0/24 core lan_ipAddress: 192.168.101.254 dns-allDestination ports: 53
7 SAT_dns2_relay SAT lan lannetAddress: 192.168.101.0/24 core lan_ipAddress: 192.168.101.254 dns-allDestination ports: 53
8 allow_core Allow lan lannetAddress: 192.168.101.0/24 core all-netsAddress: 0.0.0.0/0 all_services

1 ipsec_to_lan Allow tunnel ipsec_remote_netAddress: 192.168.100.0/24 lan lannetAddress: 192.168.101.0/24 all_services
2 lan_to_ipsec Allow lan lannetAddress: 192.168.101.0/24 tunnel ipsec_remote_netAddress: 192.168.100.0/24 all_services
3 allow_fw Allow tunnel ipsec_remote_netAddress: 192.168.100.0/24 wan all-netsAddress: 0.0.0.0/0 all_services

В дополнительном офисе стоит DI-804hv. (роутинг не настраивал)
wan: 84.53.*.*
lan: 192.168.101.254/24

как понимаю нужно настроить роутинг и запретить на фаирволе клиентам выходить на днс через 804

помогите разобраться

Вернуться наверх

danilovav

Заголовок сообщения: Re: Завернуть трафик по ipsec между DFL-260E и DI-804HV

Добавлено: Пт май 20, 2011 05:33

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

На DI ваша задача не реализуема т.к. он не умеет remote net 0.0.0.0/0 для IPsec
NAT в IPsec - тоже не умеет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

evilinside

Заголовок сообщения: Re: Завернуть трафик по ipsec между DFL-260E и DI-804HV

Добавлено: Пт май 20, 2011 15:03

Зарегистрирован: Чт май 19, 2011 14:19
Сообщений: 2

эта задача реализовывалась и реализуема, трафик с клиента DI-804HV заворачивался в ipsec и пользовался ресурсами DFL-210 , в том числе интернетом.

в моем случае (после общения со специалистом D-Link), все настроено правильно ... с DFL-260E я вижу полностью подсеть DI-804HV, но наоборот не идет ... ни icmp, ни traceroute не проходит ... соответственно немогу шлюзом при поднятом ipsec прописать lan_ip DFL-260E

Вернуться наверх

Страница 1 из 1

[ Сообщений: 3 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 242

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения