D-Link • Просмотр темы - DFL и удаленный доступ

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL и удаленный доступ

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 2 из 2

[ Сообщений: 23 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

vgo

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Ср янв 29, 2014 14:54

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 292

MTRX писал(а):

Качаете отсюда http://tsd.dlink.com.tw/
или отсюда ftp://ftp.dlink.pl/dfl/dfl-210_260_800_ ... _software/

За ссылки спасибо, качаю. Но насколько я могу судить, версии 2.40 - все WW. По крайней мере, на первом из этих ресурсов (где RU и WW прописаны явно).

Да, скачал, сравнил, убедился: у меня WW версия. Не самая свежая, но определенно WW

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Чт янв 30, 2014 14:57

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Что касается правил, то их должно быть два, что-то типа таких:
VPNClients-LAN Allow PPTP_Server/VPN_Pool lan/lannet all_tcpudpicmp
LAN-VPNClients Allow lan/lannet PPTP_Server/VPN_Pool all_tcpudpicmp

Названия объектов сами поправите.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

vgo

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Чт янв 30, 2014 16:18

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 292

MTRX писал(а):

Вовсе не обязательно. Если инициатива предполагается с обеих сторон - да, нужно два. Но когда подключение типа Remote Access, то инициатива обычно идет с одной стороны и хватает одного правила, бо обратные пакеты идут по уже установленному соединению.

Да и не в этом дело. Не устанавливается IPSEC SA, до фильтрации дело не доходит.

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Чт янв 30, 2014 17:29

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Попробуйте другого клиента.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

vgo

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Пт янв 31, 2014 18:15

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 292

День отрицательных результатов. (((
Обновление прошивки и повторное тщательное исполнение инструкций ничего не дало ((
Другие клиенты IPSEC (числом 2 с половиной - триалки платных версий) выглядят еще печальнее, потому что более закрыты и менее настраиваемы.
Попытка подключения по L2TP завершилась столь же грустно: не настраивается шифрование. Я бодаюсь во что-то внутри IPSEC, и не могу понять, во что именно. При этом в логах DFL не появилось ничего, что символизирует.

Нужен пример подключения, который я смог бы воспроизвести. Хоть ценой обнуления конфига DFL.
IPSEC, L2TP, PPTP, SSL - какой угодно. Беда в том, что кроме Cisco PIX и трех успешно работающих с ним клиентов
(хотя теперь правильнее сказать - двух), у меня нет ничего работающего. Ни с DFL, ни с RouterOS, которую тоже пытаюсь применить.
Кажется, заработало бы что-то одно, и остальные варианты тоже как-то бы сдвинулись с мертвой точки.

Буду искать.

Последний раз редактировалось vgo Пт янв 31, 2014 18:24, всего редактировалось 2 раз(а).

Вернуться наверх

vgo

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Пт янв 31, 2014 18:19

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 292

MTRX писал(а):

Извините, не понял, что Вы уже про PPTP (за который я еще толком и не брался). А я все еще про IPSEC.
Ну да, и в инструкции по L2TP упоминается что-то подобное. Я даже почти понял ))

До этого я еще не дошел.

Вернуться наверх

vgo

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Сб фев 01, 2014 18:47

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 292

Возник сугубо частный вопрос.

При описании IPSEC туннеля (в версии 2.40) на закладке General есть параметр Local Gateway, не описанный в мануале. Что это и что туда надо писать?

Вернуться наверх

vgo

Заголовок сообщения: Re: DFL и удаленный доступ

Добавлено: Сб фев 01, 2014 19:15

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 292

Ну объясните мне!

Я сбросил конфиг на DNS и заново настроил по книжке. C гейтвеем непонятно, но до него мы не доходим.

Сделал логи по ikesnoop, читаю. Первая фаза - ок. Xauth - ок. Адрес в локалке клиенту выдан и получен.
Согласовывают 2-ю фазу - и никак.

На DFL включено IP Sec алгоритмы - стандартные (DES-MD5-SHA1).

Дальше лог такой:

Код:

2014-02-01 15:55:01: IkeSnoop: Received IKE packet from 192.168.10.51:500
Exchange type  : Quick mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xe2c686a8bfa76c2 -> 0x93e31753beac65
Message ID     : 0x27376505
Packet length  : 1504 bytes
# payloads     : 5
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  SA (Security Association)
    Payload data length : 1400 bytes
    DOI : 1 (IPsec DOI)
      Proposal 1/1
        Protocol 1/1
          Protocol ID                : ESP
          SPI Size                   : 4
            SPI Value                : 0x3532d8b7
          Transform 1/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 2/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 3/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 4/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 5/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 6/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 7/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 8/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 9/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 10/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 11/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 12/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 13/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 14/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 15/45
            Transform ID             : Rijndael (aes)
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 16/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 17/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 18/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 19/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 20/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 256
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 21/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 22/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 23/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 24/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 25/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 192
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 26/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 27/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 28/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 29/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 30/45
            Transform ID             : Blowfish
            Encapsulation mode       : Tunnel
            Key length               : 128
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 31/45
            Transform ID             : 3DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 32/45
            Transform ID             : 3DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 33/45
            Transform ID             : 3DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 34/45
            Transform ID             : 3DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 35/45
            Transform ID             : 3DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 36/45
            Transform ID             : Cast
            Encapsulation mode       : Tunnel
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 37/45
            Transform ID             : Cast
            Encapsulation mode       : Tunnel
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 38/45
            Transform ID             : Cast
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 39/45
            Transform ID             : Cast
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 40/45
            Transform ID             : Cast
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 41/45
            Transform ID             : DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : HMAC-MD5
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 42/45
            Transform ID             : DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : HMAC-SHA-1
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 43/45
            Transform ID             : DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 44/45
            Transform ID             : DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
          Transform 45/45
            Transform ID             : DES
            Encapsulation mode       : Tunnel
            Authentication algorithm : Unknown IPsec authentication alg
            SA life type             : Seconds
            SA life duration         : 3600
  NONCE (Nonce)
    Payload data length : 20 bytes
  ID (Identification)
    Payload data length : 8 bytes
    ID : ipv4(any:0,[0..3]=192.168.102.31)
  ID (Identification)
    Payload data length : 12 bytes
    ID : ipv4_subnet(any:0,[0..7]=0.0.0.0/0)

2014-02-01 15:55:01: IkeSnoop: Sending IKE packet to 192.168.10.51:500
Exchange type  : Informational
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0xe2c686a8bfa76c2 -> 0x93e31753beac65
Message ID     : 0x6cd908f1
Packet length  : 114 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 16 bytes
  N (Notification)
    Payload data length : 62 bytes
    Protocol ID  : ESP
    Notification : No proposal chosen
    Notification data:
      Notify message version: 1
      Error text: "Could not find acceptable proposal"
      Offending message ID: 0x27376505

Время (3600) соответствует.
Чем ей не понравились 41 и 42 предложения?

Вернуться наверх

Страница 2 из 2

[ Сообщений: 23 ]

На страницу Пред. 1, 2

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 242

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения