faq обучение настройка
Текущее время: Вт мар 19, 2024 06:51

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: второй L2tp over ipsec
СообщениеДобавлено: Вс авг 24, 2014 21:47 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
Подскажите пожалуйста решение (я прям так и буду обращаться - Уважаемые Danilov и Vladimir22 помогите пожалуйста!))

Поднял на ДФЛ 860е (паршивка 2.60) - л2тп Овер айписек на ван1 (пул не из ланнета, соответственно есть свой л2тп_ip и л2тп_pool).
галку в always allow all interfaces не ставил.
Всё работает - для доступа к нужным шарам в локалке прописал правила и маршрут на клиенте (route add).

Решил поднять второй л2тп Овер айписек на ван2 (в качестве резервного)..
Возникли вопросы - а есть ли нюансы?

Я так понимаю, что пулл л2тп и сервер л2тп_ip могу оставить те же самые от первого л2тп? Могу правила оставить те же самые?
Так понимаю, что надо создавать второй айписек на ван2, второй ключ, второй сервер л2тп и в Outer Interface Filter - прописывать второй айписек, а в Server IP - wan2_ip.
в правилах авторизации в Interface - второй сервер л2тп и в Terminator IP - wan2_ip.. кажется всё.
или всё-таки надо всё своё делать полностью для второго л2тп?

есть таблица alt_wan1 - wan1 allnets wan1gw и такая же по ван2.
ПБР - wan1return - formard main / return alt_wan1 - wan1/allnets/any/allnets
и тоже самое по wan2return.

есть, правда, один нюанс между двумя правилами ПБР - стоит правило блокировки Ван2 при рабочем ване один, но оно для конкретных внешних айпишников (для внешних айписеков, чтобы правильно переключались).
называется блокван2 - ван2/блокремотайпи - коре/ван2айпи (мейн/мейн) - allservices

Результат - не могу подключиться ко второму вану по второму Л2тп серверу.
В первом случае (когда доступны оба вана) - клиент пишет, что не удалось согласовать режимы шифрования (кажется),
во втором случае - отключаю первый ван и ломлюсь - в логах дфл default rule drop 1701 и мой айпишник.

Что делаю не так?

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пн авг 25, 2014 02:30 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
галка L2TP Before Rules не стоит?
без выкладок правил, логов и маршрутов, трудно читать вопрос


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пн авг 25, 2014 06:24 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
С PBR/блокировкой канала у вас все правильно и проблем быть не должно, если вы не тестируете подключение из заблокированной сети :)

Касательно L2TP сервера, общими могут быть только объекты пула и внутреннего адреса.

При попытках подключнений, есть ли в логах (или лучше в syslog) или Status > IPsec информация о вашем подключении?
Если вы пропишете статические маршрут до тестового IP через wan2, получится?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пн авг 25, 2014 07:55 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
общий совет при проблемах c l2tp (pptp) и ipsec : если логи забиты "мусором" и их тяжело смотреть, то очень удобно смотреть логи включив их в отдельный сислог, в дфл есть прямо отдельные котегорий событий в сислоге - pptp, l2tp,ipsec, gre, ppp

может default rule drop 1701 идет после какого то отброса по пппшным событиям?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пн авг 25, 2014 12:44 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
Галка L2TP Before Rules стоит. С маршрутом сегодня вечером попробую. Подключаюсь конечно не из блокированной сети )) Отпишусь.

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пн авг 25, 2014 21:21 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
Эх думаю, что я просто что-то напутал с л2тп.. сегодня запросто поднял два пптп сервера.
Так что всем спасибо - попробую заново всё настроить.

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Вт авг 26, 2014 01:13 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
h20vovarf писал(а):
Галка L2TP Before Rules стоит. С маршрутом сегодня вечером попробую. Подключаюсь конечно не из блокированной сети )) Отпишусь.

значит перед дропом стопудов есть какая-то ошибка связанная с l2tp


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Вт авг 26, 2014 02:19 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
вероятно.. когда проверю - отпишусь..

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Чт сен 04, 2014 20:48 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
как то странно. настроил всё заново. при подключенных обоих ванах на второй ван л2тп Овер айписек не пускает (ПБР настроен).
при физически отключенном первом ване - на второй ван начинает пускать соединение, но только когда метрику поменял на айписеке для второго л2тп.
до этого обе метрики для обоих айписеков для л2тп (и по первому и по второму вану) были одинаковые 110 - на втором айписеке поставил 111.

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Чт сен 04, 2014 21:08 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Покажите таблицы маршрутизации, PBR, их параметры

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Чт сен 04, 2014 23:04 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
ох, спасибо за помощь..
сейчас, пока, готовлю скрины - хочу ещё кое-что сказать.
Что "успел заметить" в логах - почему "успел", потому что с перепугу залил старую конфигу, ибо и со статическими айписеками какие-то проблемы начались.

Поднял второй l2tp over ipsec на ван2 - начал цепляться. Ошибка (не помню какая). В логах тишина. Думаю - дай отключу первый ван. Отключил. Начал цепляться опять - логи появились!
В логах написано, что пытается запуститься первый л2тп айписек для вана 1 при моей попытке законектиться на л2тп для вана 2.
Так как оба айписека для allnets и метрики одинаковые выбирается ведь первый по списку?
Это и натолкнуло на смену метрики для второго айписека для л2тп.
Завелось, но всё равно я не уверен, что правильно сделал. Да и при включенном первом ване всё равно не работает..
Через полчаса скрины залью..

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пт сен 05, 2014 00:36 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
первый кусок


Вложения:
3.jpg
3.jpg [ 151.42 KiB | Просмотров: 9853 ]
2.jpg
2.jpg [ 275.89 KiB | Просмотров: 9853 ]
1.jpg
1.jpg [ 173.66 KiB | Просмотров: 9853 ]

_________________
понял настроил забыл
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пт сен 05, 2014 00:37 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
второй


Вложения:
6.jpg
6.jpg [ 164.85 KiB | Просмотров: 9853 ]
5.jpg
5.jpg [ 169.24 KiB | Просмотров: 9853 ]
4.jpg
4.jpg [ 142.95 KiB | Просмотров: 9853 ]

_________________
понял настроил забыл
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пт сен 05, 2014 00:38 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
третий. вроде всё правильно..


Вложения:
9.jpg
9.jpg [ 176.94 KiB | Просмотров: 9853 ]
8.jpg
8.jpg [ 178.58 KiB | Просмотров: 9853 ]
7.jpg
7.jpg [ 180.07 KiB | Просмотров: 9853 ]

_________________
понял настроил забыл
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: второй L2tp over ipsec
СообщениеДобавлено: Пт сен 05, 2014 19:54 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
С виду - все верно, разве что для block_ipsec правила я бы тоже применил wan2/block_ipsec_nets any/all-nets.
А тестируете - из какой сети?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 31


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB