faq обучение настройка
Текущее время: Вт июл 29, 2025 14:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: dfl 260e проброс ipsec портов
СообщениеДобавлено: Чт май 02, 2013 10:27 
Не в сети

Зарегистрирован: Чт апр 25, 2013 10:13
Сообщений: 3
Добрый день, прошу помощи, нужно сделать следующие:
- в локальной сети за dfl стоит маршрутизатор с vpn ipsec. К нему надо через dfl пробросить ipsec порты чтобы поднять тунель.(скажу сразу схему этого подключения не переделать( )
Так вот пробрасываю группу ipsec-suite. Создаю правило SAT.
вот как всё
выглядит:
interface:
source:any
destination:core
network:
source:all-nets
destination:wan_ip

на вкладке SAT указываю адрес куда направить ipsec-suite.

следующее правило:

ALLOW
interface:
source:any
destination:core
network:
source:all-nets
destination:wan_ip

Теперь пробую по внешнему адресу обратиться по 500 порту, в логах вижу следующую запись:
Default_Rule ruleset_drop_packet
drop
прошу помощи, спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dfl 260e проброс ipsec портов
СообщениеДобавлено: Чт май 02, 2013 11:07 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 348
а если вместо интерфейса источника выбрать не any a wan_ip ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dfl 260e проброс ipsec портов
СообщениеДобавлено: Чт май 02, 2013 12:46 
Не в сети

Зарегистрирован: Чт апр 25, 2013 10:13
Сообщений: 3
asd1979 писал(а):
а если вместо интерфейса источника выбрать не any a wan_ip ?

Всё тоже самое осталось =(
Вот и ломаю голову...)
спасибо за отклик.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dfl 260e проброс ipsec портов
СообщениеДобавлено: Чт май 02, 2013 20:24 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вы извне пытаетесь наверное telnet, а это TCP. Для IPsec же (IKE) используется UDP 500 порт, поэтому ваш тест - не показатель.
Правила несколько уже
SAT wan/all-nets core/wan_ip ipsec-suite, SAT: new dest = yourprivatehost_ip
Allow wan/all-nets core/wan_ip ipsec-suite
На внутреннем хосте, естественно, DFL должен быть шлюзом и разрешены внешние подключения.
А еще лучше IPsec терминировать на самом DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dfl 260e проброс ipsec портов
СообщениеДобавлено: Чт май 02, 2013 21:58 
Не в сети

Зарегистрирован: Чт апр 25, 2013 10:13
Сообщений: 3
Спасибо,, похоже что вы правы, тогда получается дело в настройках самих ipsec роутеров...
Временно на dfl был поднят pptp для доступа к железкам из вне, вопрос следующий:
Есть локалка за dfl, естэть vlan2 (172.16.1.0/24) допустим, далее он уходит по точке доступа wi-fi в соседнее здание на неуправляемый свитч(пользователи локалки), далее оттуда идёт на: роутер тот самый на котором должен подниматься ipsec. Роутер ipses имеет wan интерфейс с адресом 172.16.1.62 и шлюзом 172.16.1.254
За этим самым роутером есть две подсети 172.20.4.0 и 192.168.29.2.
маршруты к подсетям прописаны, правила созданы, но в логах dfl при попытке подключения через https выскакивает следующие:
TCPSequenceNumbers и как следствие drop. Подскажите как это исправить?
спасибо за помощь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dfl 260e проброс ipsec портов
СообщениеДобавлено: Пт май 03, 2013 21:29 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Не совсем понятно. Можно схему?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 241


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB