1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 22:36

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Fouriki
 Заголовок сообщения: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Вт янв 24, 2012 20:09 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Добрый день!
Настраивал по мануалу http://www.dlink.ru/ru/faq/92/520.html
В DI'ке логи такие при попытке соединиться
Код:
Tuesday January 24, 2012 22:59:47 Send IKE M1(INIT) : 192.168.1.136 --> 92.50.181.14
Tuesday January 24, 2012 22:59:47 Receive IKE M2(RESP) : 92.50.181.14 --> 192.168.1.136
Tuesday January 24, 2012 22:59:47 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Tuesday January 24, 2012 22:59:47 Send IKE M3(KEYINIT) : 192.168.1.136 --> 92.50.181.14
Tuesday January 24, 2012 22:59:47 Receive IKE M4(KEYRESP) : 92.50.181.14 --> 192.168.1.136
Tuesday January 24, 2012 22:59:47 Send IKE M5(IDINIT) : 192.168.1.136 --> 92.50.181.14
Tuesday January 24, 2012 22:59:47 Receive IKE INFO : 92.50.181.14 --> 192.168.1.136
Tuesday January 24, 2012 22:59:47 Send IKE (INFO) : delete 192.168.1.136 -> 92.50.181.14 phase 1
Tuesday January 24, 2012 22:59:47 IKE phase1 (ISAKMP SA) remove : 192.168.1.136 <-> 92.50.181.14

в dfl такое
Изображение
Настройки дфлки:
Изображение
Настройки диайки:
Изображение
Изображение
Изображение

ПСКшки менял несколько раз, копированием вставлял. Точно одинаковые.
По поводу айпишников. Диайка подключена через дурацкого провайдера, который дает статику, но через серую локалку.
то есть у диайки ip 92.246.220.57, но на интерфейсе болтается 192.168.1.136.
Железка сейчас далеко находится, для руления ей провайдер пробросил порт.

Всю голову себе сломал, не гуглится по этой проблеме
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Ср янв 25, 2012 05:15 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Алгоритмы DES 56 не входят в профиль Medium на DFL ввиду низкой криптостойкости
Сделайте отдельные профили под IKE и IPsec (в RU прошивках называется Standard) и используйте их

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Ср янв 25, 2012 06:47 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Изображение
Изображение
вот такие настройки в стандарте. Прописал в настройки туннеля в дфл. Все равно:
Код:
Wednesday January 25, 2012 09:45:30 Send IKE M1(INIT) : 192.168.1.136 --> 92.50.181.14
Wednesday January 25, 2012 09:45:30 Receive IKE M2(RESP) : 92.50.181.14 --> 192.168.1.136
Wednesday January 25, 2012 09:45:30 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Wednesday January 25, 2012 09:45:31 Send IKE M3(KEYINIT) : 192.168.1.136 --> 92.50.181.14
Wednesday January 25, 2012 09:45:31 Receive IKE M4(KEYRESP) : 92.50.181.14 --> 192.168.1.136
Wednesday January 25, 2012 09:45:31 Send IKE M5(IDINIT) : 192.168.1.136 --> 92.50.181.14
Wednesday January 25, 2012 09:45:31 Receive IKE INFO : 92.50.181.14 --> 192.168.1.136
Wednesday January 25, 2012 09:45:31 Send IKE (INFO) : delete 192.168.1.136 -> 92.50.181.14 phase 1
Wednesday January 25, 2012 09:45:31 IKE phase1 (ISAKMP SA) remove : 192.168.1.136 <-> 92.50.181.14
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Ср янв 25, 2012 16:38 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Добился таки IKE established какими то шаманскими действиями )
Но появилась другая проблема: судя по всему траффик просто не гуляет по этому туннелю: с дфлки я не могу пингануть ни один адрес за диайкой.
Что характерно, диайка тоже не пингует ни один адрес за ней (может тут косяк какой то кроется?)
Внутренний адрес диайки тоже не могу пингануть:
Код:
Ping
IP Address:   192.168.12.7
Number of Packets:   10
Packet Size:   32
    

10 packets transmitted, 0 packets received, 100% packet loss.
Round trip time average: 0 ms.

Возможно, с этим связано то, что я с пптп подключения не могу попинговать никого за айписек туннелем. Что такое может быть? куда копать?
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Чт янв 26, 2012 05:42 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
А правило разрешающее есть?
Запустите ping -t и смотрите в Status > Connections, куда (правильно ли) идут пинги?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Чт янв 26, 2012 08:53 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Код:
C:\Users\fouriki>ping 192.168.12.7 -t

Pinging 192.168.12.7 with 32 bytes of data:

Код:
PING    ICMP    lan:192.168.0.2:1    Orenburg:192.168.12.7:1    6

вроде туда куда надо уходит )

Между интерфейсами разрешающие правила согласно инструкции на all_services
Код:
#     Name     Action     Source interface     Source network     Destination interface     Destination network     Service
1     Oren2Lan     Allow     Orenburg     OrenNet     lan     lannet     all_services
2     Lan2Oren     Allow     lan     lannet     Orenburg     OrenNet     all_services
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Чт янв 26, 2012 09:16 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Я даже с дфлки не могу пингануть никого за диайкой. А с диайки вообще даже локальные адреса не пингуются, что наводит на какие то нехорошие мысли.
То есть получается что туннель как бы есть. Но через него ничего не бегает
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Чт янв 26, 2012 09:32 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
И вообще, можно ли их соединить каким-нибудь другим способом, кроме айписека? Шифрование не принципиально, принципиально, чтобы сети друг друга видели
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Пт янв 27, 2012 04:28 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
IPsec лучший вариант.

Status > IPsec - там для вашего туннеля вообще есть SA?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Пт янв 27, 2012 11:29 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
да, SA есть. сейчас немножко поковырялся, но почему-то с DI не пингуется ни один комп из сети DFL'ки, а с DFL'ки не пингуется никто за DI'кой.
Причем так даже когда я туннель с другой диайкой делал и он работад
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Пт янв 27, 2012 13:18 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
И почему то не бегает траффик с пптп на ипсек, хотя пптп адреса входят в локальную подсеть
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Вс янв 29, 2012 00:44 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
А правила разрешающие на DFL есть?

Попробуйте вот что - запустите ping -t со стороны DI и смотрите на DFL - есть ли входящие подключения? Есть ли какие то логи, дропов например?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Fouriki
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Пн янв 30, 2012 07:45 
Не в сети

Зарегистрирован: Пн ноя 23, 2009 15:28
Сообщений: 42
Ну вот, сегодня утром соединение разорвано и в логи дфл сыпятся "IKE_INVALID_COOKIE"
SA'шек нету в списке. Это почему может быть?
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL 260 + Di 804: не снюхиваются.
СообщениеДобавлено: Вт янв 31, 2012 05:27 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
У вас других (динамических - вообще без remote endpoint или с DNS) IPsec нет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 291

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB