faq обучение настройка
Текущее время: Пт июл 18, 2025 20:01

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Ср июл 30, 2014 12:07 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
DFL-860E
Firmware Version: 2.40.01.08-17754 ww

настраиваю vpn - pptp, l2tp, l2tp over ipsec (все перепробовал)
все работает, пинги идут в обоих направлениях, локалка из удаленых подключений пингуется нормально
но во всех вариантах есть один глюк - с vpn есть связь только при одном подключении
адресное пр-во для впн 192.168.10.x, т.е. например первый юзер получает на vpn интерфейс статику - 192.168.10.2, второй - 192.168.10.8
при подключении второго юзера - связи с ним и от неог нет, пока не отключишь первого, тогда у второго сразу все начинает работать без переподключения
в логах при этом ничего не пишется, т.е. не отрабатывает маршрутизация
перепробовал много вариантов галок пр маршрутизацию, прописывал маршрут на пптп интерфейс руками, убирая его из настроек пптп сервера (тогда вообще не работает)
причем так же работает если первый юзер подключен например по l2tp over ipsec, а второй по pptp (у всех адреса 192.168.10.x)
если пользователей впн разносить по разным сетям то все работает, но я так не хочу, надо победить этот глюк, а мысли кончились


Вложения:
Комментарий к файлу: таблица маршрутизации
routes.jpg
routes.jpg [ 77.58 KiB | Просмотров: 114488 ]
Комментарий к файлу: статус маршрутов при двух подключениях по pptp
3007.jpg
3007.jpg [ 79.56 KiB | Просмотров: 114488 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 30, 2014 12:58 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
лучше прошить 2.40.04.08 for WW. на всяк случай

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 30, 2014 21:32 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 348
Лучше покажите настройки pptp сервера к примеру, правила авторизации клиентов, и настройки самих удаленных пользователей в DFL.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 30, 2014 21:33 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 348
И чем все же не угодил разнос по разным сетям?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 00:58 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
asd1979 писал(а):
И чем все же не угодил разнос по разным сетям?

ну так-то конечно хорошо что хоть как-то работает, но каждому пользователю свою сеть это наверно перебор, этож на каждом ресурсе в локалке куда они ломятся надо будет прописывать количество маршрутов равное числу сетей


Вложения:
3.jpg
3.jpg [ 44.07 KiB | Просмотров: 114468 ]
2.jpg
2.jpg [ 53.54 KiB | Просмотров: 114468 ]
1.jpg
1.jpg [ 28.53 KiB | Просмотров: 114468 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 01:21 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
еще


Вложения:
4.jpg
4.jpg [ 31.82 KiB | Просмотров: 114468 ]
5.jpg
5.jpg [ 48.79 KiB | Просмотров: 114468 ]
6.jpg
6.jpg [ 56.07 KiB | Просмотров: 114468 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 01:22 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
и еще


Вложения:
7.jpg
7.jpg [ 75.07 KiB | Просмотров: 114468 ]
8.jpg
8.jpg [ 62.18 KiB | Просмотров: 114468 ]
9.jpg
9.jpg [ 57.24 KiB | Просмотров: 114468 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 07:47 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
я таки разобрался, в чем дело!
проблема решена, загвоздка действительно была в маршрутизации
угадайте какая была причина?
на картинках глюки (т.е. мои косяки:)) явно видно:)

p.s. вылез другой глюк (еще один), связанный с маршрутизацией, l2tp over ipsec и модемами йота (на счет роутеров йота не знаю), при подъеме ipsec в логи сыпятся предупреждения:
message="NAT-T initial contact notification with IP identity 10.0.0.10"
message="It is recommended to use non-IP identities with NAT-T to avoid ID collision"
йотовские же модемы ониж типа роутеры, стучатся с интерфейса 10.0.0.10, ну и когда подключаются два таких, маршрут перехватывается последним подключившимся (в прошлом глюке маршрут забирался тем кто первый подрубился:))
в модеме можно поменять адресное пространство, три варианта правда всего: 10.0.0.0, 176.0.0.0, 192.168.0.0 (ну это святое, это не отдам:))
остается два варианта - т.е. две одновременно работающих удаленки l2tp over ipsec через йоту
можно конечно зайти в настройки сетевухи которую создает йота и там прописать адрес вручную
но если модем передернут в другое гнездо, то опять 10.0.0.10


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 11:17 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Shkiper писал(а):
я таки разобрался, в чем дело!
проблема решена, загвоздка действительно была в маршрутизации
угадайте какая была причина?
на картинках глюки (т.е. мои косяки:)) явно видно:)
Лучше явно напишите. Загадок на форуме и так хватает. А вот с ответами иногда напряженка. :D

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 12:20 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 348
Ваш косяк в настройках pptp сервера...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 13:05 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
asd1979 писал(а):
Ваш косяк в настройках pptp сервера...

я тоже так думал, перепробовал там все галки которые имеют отношение к маршрутам (их там вроде две всего)
все равно не помогло
даю подсказку, т.к. проблема в маршрутизации то на картинке со статусом маршрутов (routing table content), этот косяк хорошо заметен
это два динамических маршрута на сеть 192.168.10.0 на интерфейс pptp сервера, т.е. по одному на каждое удаленное подключение
естественно при такой таблице маршрутизации, система при обращении на эту сеть доходит до "первого встречного" маршрута и отправляет весь трафик по нему, т.е. будет работать то подключение чей маршрут первый по порядку, когда он отрубится, трафик пойдет по второму
я это понял уже давно, а как победить додуматься не мог долго
давайте ваши варианты:)

самым вероятным решением мне почему-то казалось как-нибудь добится того, чтобы этот маршрут был один общий на все подключения, но это ошибочное направление:)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт июл 31, 2014 18:54 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 348
Посмотрите внимательно на скрины - один Ваш, второй взят с офф. мануала по настройке pptp сервера для DFL.
В позиции inner IP adress должен стоять внутренний адрес интерфейса DFL - lan ip. И при подключении двух пользователей у Вас тоже будет два маршрута только флаги будут - DA


Вложения:
с сайта.jpg
с сайта.jpg [ 66.98 KiB | Просмотров: 114436 ]
ваш.jpg
ваш.jpg [ 28.53 KiB | Просмотров: 114436 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт авг 01, 2014 00:33 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
да, точно, отличается от руководства, это потому что я пробовал и так и эдак, в инструкциях с картинками встречается три варинта - wan, lan, ip vpn интерфейса
это поле на маршруты не влияет, работает и с lan_ip и с wan_ip, я щас даже попробовал поставил вообще левый внешний ip - все равно работает
DA в статусе маршрута появляется когда ставишь галку proxy ARP на вкладке add route
насчет того что при подключении двух пользователей должны быть два маршрута - это правда, но они должны быть другими
да, я тоже через все эти мысли проходил, в моих картинках с настройками есть таки еще косяк, кроме статуса маршрутов:)

в общем вопрос такой:
какие поля в настройках vpn (pptp и l2tp) определяют маршруты?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт авг 01, 2014 11:46 
Не в сети

Зарегистрирован: Пн июн 04, 2012 18:05
Сообщений: 348
У меня DFL-860E, постоянно по pptp работают порядка 15 человек, плюс еще по ssl порядка 5, настроено все согласно мануала на сайте. Для pptp сделана отдельная подсеть, отличная от lan. Для пользователей ssl - сделан пул адресов в lannet. И все прекрасно работают. Не забивайте голову, настройте согласно faq на сайте.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт авг 01, 2014 11:53 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
+1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 576


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB