1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 16:54

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
ov_g
 Заголовок сообщения: DFL-800 to DS-605, правила
СообщениеДобавлено: Пт июн 24, 2011 11:29 
Не в сети

Зарегистрирован: Пт июн 24, 2011 11:00
Сообщений: 4
Добрый день, имеется DFL-800 (Версия аппаратного обеспечения:2.27.00.14-14088) и VPN Client DS-605, соединение происходит, но как направить трафик в нужный VLAN не могу понять, в журнале видно что все пакеты дропаются,
2011-06-24
13:54:24 Предупреждение RULE
6000051 Default_Rule UDP ipsec_test
172.29.хх.хх
172.16.хх.хх 50455
53 ruleset_drop_packet
drop

правила, следующие:
client_to_server Allow internet all-nets ipsec_test lan_net all_services
server_to_client Allow ipsec_test lan_net internet all-nets all_services
понимаю что нужно перенаправить в VLAN, но как понять не могу, прошу вашей помощи.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL-800 to DS-605, правила
СообщениеДобавлено: Пт июн 24, 2011 19:12 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Может быть, все же
client_to_server Allow ipsec_test/lan_net your_vlan/your_vlan_net all_services
?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
ov_g
 Заголовок сообщения: Re: DFL-800 to DS-605, правила
СообщениеДобавлено: Пн июн 27, 2011 06:24 
Не в сети

Зарегистрирован: Пт июн 24, 2011 11:00
Сообщений: 4
Да, :) Все именно так, спасибо.
Вернуться наверх
 Профиль  
 
ov_g
 Заголовок сообщения: Re: DFL-800 to DS-605, правила
СообщениеДобавлено: Пн июн 27, 2011 08:50 
Не в сети

Зарегистрирован: Пт июн 24, 2011 11:00
Сообщений: 4
Еще один вопрос появился, при создании второго туннеля подключения к нему не происходит, ошибки следующие:
2011-06-27
11:09:29 IPSEC 1802708
ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x0a4082a9, AH=0xfc01f0f8, IPComp=0xef802b9"

2011-06-27
11:09:29 IPSEC 1802022
ike_sa_failed
no_ike_sa
statusmsg="Invalid payload type" local_peer="77.239ххх.ххх ID No Id" remote_peer="213.87.ххх.ххх:89 ID No Id" initiator_spi="ESP=0x0a4082a9, AH=0xfc01f0f8, IPComp=0xef802b9a"

2011-06-27
11:09:29 IPSEC 1802715
event_on_ike_sa
side=Responder msg="failed" int_severity=6

2011-06-27
11:09:29 IPSEC 1800106
ike_invalid_payload
local_ip=77.239.ххх.ххх remote_ip=213.87.ххх.ххх cookies=0a4082a9fc01f0f8ef802b9a9968193c reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"

Но при переносе туннельного интерфейса на первое место в system\int\ipsec\ подключение происходит, в чем может быть проблема?
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL-800 to DS-605, правила
СообщениеДобавлено: Вт июн 28, 2011 12:36 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
У вас два IPsec с remote endpoint = all-nets?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
ov_g
 Заголовок сообщения: Re: DFL-800 to DS-605, правила
СообщениеДобавлено: Ср июн 29, 2011 06:28 
Не в сети

Зарегистрирован: Пт июн 24, 2011 11:00
Сообщений: 4
Да, так было, поискал по форуму и нашел, что два динамический ipsec работать не будут, а как тогда можно организовать несколько подключений? Идея была чтобы с ноутов народ подключался к сети по VPN, и как понимаете ни у кого статического белого ip нет.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL-800 to DS-605, правила
СообщениеДобавлено: Ср июн 29, 2011 08:00 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Используйте один динамический IPsec для всех
Клиентам можно выставить статический адрес для использования в тоннеле, например и на основании его писать правила
Хотя тут конечно более красиво будет L2TP over IPsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 510

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB