faq обучение настройка
Текущее время: Вт июл 29, 2025 13:53

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Инициатор туннеля
СообщениеДобавлено: Ср фев 12, 2014 12:53 
Не в сети

Зарегистрирован: Чт янв 02, 2014 16:23
Сообщений: 12
при следующих условиях инициатором маршрута может быть только firewall2, т.е когда пингую с файервола 2 туннель создается когда с фаервола1 то нет, в чем может быть причина?
в мануале для netdefendos нашел следующие слова, но это не совсем подходит под мою ситуацию
Скрытый текст: показать
1. Только одна сторона может инициировать установку туннеля
Причиной данной проблемы является несоответствие размера в локальной или удаленной сети и/или
настройки срока действия в предлагаемом списке (-ах).
Для поиска и устранения данной проблемы необходимо проверить настройки для локальной сети,
удаленной сети, списка IKE proposal и списка IPsec на обеих сторонах для идентификации
несоответствия.
Например, предположим, что в каждой точке туннеля установлены следующие IPsec-настройки:
• Сторона А
Локальная сеть = 192.168.10.0/24
Удаленная сеть = 10.10.10.0/24
• Сторона Б
Локальная сеть = 10.10.10.0/24
Удаленная сеть = 192.168.10.0/16
В данном сценарии указанный диапазон адресов удаленной сети на стороне Б больше, чем на
стороне А. Это означает, что только сторона А может успешно инициировать установку туннеля к
стороне Б, так как размер ее сети меньше. Когда сторона Б пытается установить туннель, сторона А
отклоняет эту попытку, так как размер сети больше, чем указано. Причина заключается в том, что
сети с меньшим размером являются более защищенными. Это также относится к сроку действия в
списках proposal.

фаервол1
Local Network: 192.168.10.0/24, 192.168.210.0/24
Remote Network: 172.16.0.0/16, 192.168.5.0/24

фаервол2
Local Network: 172.16.0.0/16, 192.168.5.0/24
Remote Network: 192.168.10.0/24, 192.168.210.0/24


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Чт фев 13, 2014 16:35 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Вы можете писать all-nets для Local и Remote и навсегда забыть про эти параметры :). Для того, чтобы рулить, чему можно, а чему нельзя лезть в туннель -- есть IP Rules. А маршруты пишите ручками (галку автоматического создания снимите).
А причиной тому, что туннель не устанавливается с одной стороны, может, например, быть NAT на пути. Или у Вас туннелей несколько, там есть особенность (глюк).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Чт фев 13, 2014 16:46 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
туннель как правило начинает работать , после того как туда "полез" траффик , поэтому я наприммер поддерживаю туннель мониторингом, какого нибудь маршрута - через туннель :-)
Keep-alive - не всегда хорошее решение в туннелях .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Чт фев 13, 2014 17:12 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Vladimir22 писал(а):
...
Keep-alive - не всегда хорошее решение в туннелях .

а почему?

http://www.dlink.ru/ru/faq/92/508.html

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Чт фев 13, 2014 18:00 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
исходя из практики

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Чт фев 13, 2014 20:15 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
не содержательно )

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Вс фев 23, 2014 09:27 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Интерфейсный keep alive плох тем что перестает работать DPD и могут начать множиться SA.
Поэтому IPsec keep alive лучше выключать, включать DPD.
А минимальный трафик организовать ICMP мониторингом - рекомендую для этих целей делать отдельную таблицу, видно и текущий статус всех каналов, и минимальный трафик в них все идет.


Вложения:
140223_DFL_KeepAlive_RoutingTable.jpg
140223_DFL_KeepAlive_RoutingTable.jpg [ 43.98 KiB | Просмотров: 3400 ]

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Инициатор туннеля
СообщениеДобавлено: Пн мар 03, 2014 07:31 
Не в сети

Зарегистрирован: Чт янв 02, 2014 16:23
Сообщений: 12
да замечал такое, у меня стоит keep alive включенный и SA множатся, спасибо за совет попробую. Интересно а из-за чего множится SA ?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 261


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB