1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 20, 2025 06:13

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 17 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
ama
СообщениеДобавлено: Пн окт 03, 2005 16:13 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
вот картинка как и чего стоит
http://design.simm.ru/tmp/html/net_frame.htm

вот конфиг DI-1750
http://design.simm.ru/tmp/startup-config.test3

вот скрин с DFL-100
http://design.simm.ru/tmp/dfl100.jpg

подскажите что не так ? канал VPN не поднимаеться :((

зы: прошивки везде последнии.
Вернуться наверх
 Профиль  
 
Sergey Sivcov
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 04, 2005 07:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk
На первый взгляд у Вас не совпадают в IKE PFS Mode в DFL-100 и в DI-1750, в DFL-100 - group 1 (768-bit), а в DI-1750 group 2 (1024-bit). Также не совпадают время жизни IKE Life Duration.
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 04, 2005 09:46 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
угу, пасиба, поправил, но не помогло :(
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 10:22 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
Люди, ну помогите плз, как хоть посмотреть на DI-1750 почему VPN туннель не создаеться ? В логах на DFL-100 все время одно и тоже:

Initiator Responder Proto Terminate Reason
IP: 192.168.100.1 IP: 192.168.100.1 ICMP Timeout
Sent Size: 56 Bytes Sent Size: 0 Bytes

и такое каждые две секенды :( ...
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 13:15 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
хорошо бы обновить прошивку на 1.3.2М... и поставьте пожалуйста дебаг на crypto -- нужно посмотреть что в логах DI-1750 -- у него внятный и достаточно подробный лог.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 13:18 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
прошивка обновлена (первое что сделал)
дебагом и логами, сейчас попробую.
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 13:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Отлично. тогда обновите пожалуйста информацию о конфигурации устройств на приведенных вами ссылках -- уже что то исправлено, а глаз спотыкается об ошибки...

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 14:37 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
обновил -
DI-1750 http://design.simm.ru/tmp/startup-config.test3
DFL-100 http://design.simm.ru/tmp/dfl100.jpg

дебаг вроде включил, а как посмотреть лог не найду пока :(
DI1750#debug crypto ipsec
DI1750#debug crypto isakmp
DI1750#debug crypto packet
DI1750#show debug
Crypto Subsystem:
Crypto Ipsec debugging is on
Crypto Isakmp debugging is on
Crypto Packet debugging is on
DI1750#terminal monitor
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 16:40 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
во ... при попытке пропинговать с машины 192.168.20.10 интерфейс DI-1750 192.168.10.1 (пинг кст не проходит почему-то, а на 192.168.100.1 нормально) в окно терминало пишеться следующее:
2004-1-1 02:43:30 ISAKMP: received packet from 192.168.100.2
2004-1-1 02:43:42 ISAKMP: received packet from 192.168.100.2
2004-1-1 02:43:53 ISAKMP: received packet from 192.168.100.2

в это время на DFL-100 в VPN Statistik пишет Negotiating P1, потом опять Broken
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 05, 2005 18:04 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
Критичны ли значения Remote Tunnel ID и Negotiation ID в настройках DFL-100 ?
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 06, 2005 09:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Да. критичны. нужно чтобы Negotiation ID совпадал с внешним адресом, тогда будет работать Main mode.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 06, 2005 10:03 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
Не понял :( с внешним адресом чего ? те там должен быть IP ?
вот выдержка из доки к DFL-100 "In addition, a Negotiation ID can be entered to identify your local end of the tunnel to the remote gateway."
и в качестве примера там стоит "admin"...
а по поводу Remote Tunnel ID ? он произвольный может быть ?
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 06, 2005 10:11 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
ama писал(а):
Не понял :( с внешним адресом чего ? те там должен быть IP ?
вот выдержка из доки к DFL-100 "In addition, a Negotiation ID can be entered to identify your local end of the tunnel to the remote gateway."
и в качестве примера там стоит "admin"...
а по поводу Remote Tunnel ID ? он произвольный может быть ?

здесь смотрели:
http://www.dlink.ru/technical/faq_vpn_9.php
http://www.dlink.ru/technical/faq_vpn_1.php

думаю, должно помочь.

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 07, 2005 08:18 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
Vladislav Karagezov писал(а):
здесь смотрели:
http://www.dlink.ru/technical/faq_vpn_9.php
http://www.dlink.ru/technical/faq_vpn_1.php

думаю, должно помочь.


Естесственно смотрел, нашел там кучу ошибок, те конфиги что там, просто нерабочии, но посмотрел еще раз, пытался вчера победит железки, но безрезультатно :(. (ну нехватает моего уровня :( )

Будте добры, плз, подскажите, а то начинаю думать что поднять между ними канал VPN мне никогда не удастся.
Вернуться наверх
 Профиль  
 
ama
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 12, 2005 17:23 
Не в сети

Зарегистрирован: Пт окт 10, 2003 11:46
Сообщений: 15
я хоть не очень умный, но очень усидчивый, попыток поднять vpn не оставил, помогите плз, госпада сотрудники Д-Линка.

вот конфиг DI-1750
Код:
!Version 1.3.2M (FULL)
hostname DI1750
!
!-- preshared key для соседа по тоннелю (как я понимаю Negotiation ID на DFL-100 будет - 192.168.100.2)
!
crypto isakmp key 1234567890 192.168.100.2 255.255.255.0
!
!--Задаем политику Internet Key Exchange (IKE) и
!
crypto isakmp policy 1
encryption 3des
group 2
hash md5
lifetime 28800
!
!--Задаем параметры IPSec, включают в себя соседей по тоннелю, типы протоколов, криптографические алгоритмы и описание
!
crypto ipsec transform-set dfl100
transform-type esp-3des esp-md5-hmac
!
crypto map dfl100hv 1 ipsec-isakmp
set peer 192.168.100.2
set pfs group1
set security-association lifetime seconds 28800
set transform-set dfl100
match address dfl100tun
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet1/0
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
crypto map dfl100hv
!
interface Async0/0
no ip address
no ip directed-broadcast
!
ip route 192.168.20.0 255.255.255.0 Ethernet1/0
!
! Разрешения
ip access-list extended dfl100tun
permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
deny ip any any


настройки DFL-100
Код:
Remote Tunnel ID     - DI1750
Peer Type                 - Remote Gareway (Static IP)
Remote Gateway IP   - 192.168.100.1
Remote IP Network    - 192.168.10.0
Remote IP Netmask   - 255.255.255.0
Pre-Shared Key         - 1234567890
IKE Encryption           - 3DES
IKE Hash              - MD5
IKE Life Duration        - 28800 seconds    
SA Life Duration         - 28800 seconds    
IKE PFS Mode          - 1024-bit
IPSEC PFS Mode          - 768-bit
IPSEC Operation        - ESP
IPSEC ESP Transform - 3DES
IPSEC ESP Auth          - HMAC-MD5
IPSEC AH Transform   - MD5


чего у меня не так ? в где ошибка ? (ну кроме днк)
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 17 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 288

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB