1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 16, 2025 01:17

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
велесов
 Заголовок сообщения: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 05, 2016 15:11 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
Всем привет!

Пытаюсь настроить туннель между DFL 800 и Ubuntu server, но туннель не строится.
На DFL такие настройки:
Интерфейс GRE

Имя: gre
IP address: 10.80.1.6
Remote network: 192.168.1.0/24
Remote Endpoint: XXX.XXX.XX.XX #внешний ip на другой стороне

Так же созданы правила файервола:
inbound_gre allow gre 192.168.1.0/24 lan lannet all_services
outbound_gre allow lan lannet gre 192.168.1.0/24 all_services
ping allow gre 192.168.1.0/24 core lan_ip all_icmp

В ubuntu gre-интерфейс описан так:
Код:
auto tun1
iface tun1 inet static
    address 10.80.1.5
    netmask 255.255.255.252
    up ifconfig tun1 multicast
    pre-up iptunnel add tun1 mode gre local XX.XX.XX.XX remote YY.YY.YY.YY ttl 255
    pointopoint 10.80.1.6
    post-down iptunnel del tun1
    post-up ip route add 192.168.27.0/25 dev tun1

Конфигурация интерфейса на Ubuntu точно рабочая, т.к. с ней строился gre-туннель с DSR-1000.

Подскажите пожалуйста, получалось ли у кого-нибудь настроить такую связку?
Помогите советом что нужно чтобы такую связку реализовать?
Вернуться наверх
 Профиль  
 
D-Stream
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 05, 2016 17:23 
Не в сети

Зарегистрирован: Пн апр 28, 2014 15:38
Сообщений: 219
Что в логах?
Вернуться наверх
 Профиль  
 
велесов
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Пн апр 11, 2016 12:31 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
Код:
DFL-800:/> ifstat gre
Iface gre
  GRE tunnel to XX.XX.XX.XX from YY.YY.YY.YY
  Receive Mode  : Normal
  MTU           : 1476
  IP Address    : 10.80.1.6

Software Statistics:
  Soft received :     472  Soft sent     :       0  Send failures :       0
  Dropped       :     472  IP Input Errs :       0

Driver information / hardware statistics:
  None.


Код:
root@server00:~# ifconfig tun1
tun1      Link encap:UNSPEC  HWaddr B2-EE-15-AE-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.80.1.5  P-t-P:10.80.1.6  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1476  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1939 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:170632 (170.6 KB)


Других логов нет.
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Пн апр 11, 2016 13:33 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
В логах на DFL какие записи в момент попытки поднятия тоннеля?
Правила на DFL прописаны?
И уточните значение MTU с обоих концов.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
велесов
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Пн апр 11, 2016 15:53 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
Код:
2016-04-11
14:54:04   Предупреждение   RULE
6000051   Default_Access_Rule   ICMP   gre
10.80.1.5
10.80.1.6   
ruleset_drop_packet
drop
ipdatalen=64 icmptype=ECHO_REQUEST echoid=995 echoseq=17
2016-04-11
14:54:03   Предупреждение   RULE
6000051   Default_Access_Rule   ICMP   gre
10.80.1.5
10.80.1.6   
ruleset_drop_packet
drop
ipdatalen=64 icmptype=ECHO_REQUEST echoid=995 echoseq=16
2016-04-11
14:54:02   Предупреждение   RULE
6000051   Default_Access_Rule   ICMP   gre
10.80.1.5
10.80.1.6   
ruleset_drop_packet
drop
ipdatalen=64 icmptype=ECHO_REQUEST echoid=995 echoseq=15


логи dfl при пинге со стороны сервера.
правила:
1 in Allow gre 192.168.1.0/24 lan lannet all_services
2 out Allow lan lannet gre 192.168.1.0/24 all_services
3 ping Allow gre all-nets any all-nets icmp_all

MTU:1476 с двух сторон
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Пн апр 11, 2016 16:26 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Какие локальные подсети с обоих концов?
Случаем не одинаковые ли?

MTU поставьте 2000

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
велесов
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Пн апр 11, 2016 16:46 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
со стороны dfl - 192.168.27.0/25
со стороны сервера - 192.168.1.0/24

что не могу найти, где для gre-интерфейса назначать MTU...
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Пн апр 11, 2016 17:03 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Я обычно IPSec натягиваю, там это есть.
В GRE может и не быть.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 12:05 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
велесов писал(а):
со стороны dfl - 192.168.27.0/25
со стороны сервера - 192.168.1.0/24
Это не опечатка?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
велесов
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 13:46 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
нет, не опечатка.

Канал заработал, на сервере не хватало правила
Код:
iptables -A INPUT -p gre -j ACCEPT

но..
Со стороны dfl-a подсеть (192.168.1.0/24) за сервером доступна - пингуются хосты, отдаются сервисы.
Со стороны сервера не пингуются хосты в подсети за dfl (192.168.27.0/25), сервисы не отдаются.
В чем может быть проблема?
Вернуться наверх
 Профиль  
 
Vladimir22
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 14:41 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
в правилах на DFL

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
велесов
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 17:23 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
подскажите, в каких правилах?
Вернуться наверх
 Профиль  
 
Vladimir22
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 17:41 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
показывайте свои , там подскажем ноя бы сделал что то типа
allow : gre/remote-net lan/lan-net all-service
allow : lan/lan-net gre/remote-net all-service
а потом смотрел . ну или показывайте свои правила что там у вас про ваш GRE

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
велесов
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 19:47 
Не в сети

Зарегистрирован: Сб авг 04, 2012 15:05
Сообщений: 29
Да, такие правила есть.
На данный момент ситуация такова:

Хосты из обоих сетей доступны друг-другу, и по icmp, и по сервисам.

Но если например, пинговать с dfl адрес точки (10.80.1.5) на сервере, то он не пингуется.
При этом адрес шлюза (192.168.1.1) пингуется.

Так же и с сервера не пингуется точка (10.80.1.6) на dfl.
И не пингуется адрес шлюза (192.168.27.1).

Правила lan_to_wan1:
1 drop_smb-all Drop lan lannet wan1 all-nets smb-all
2 allow_ftp-passthrough_av NAT lan lannet wan1 all-nets ftp-passthrough-av
3 allow_standard NAT lan lannet wan1 all-nets all_tcpudp
4 allow_icmp NAT any all-nets any all-nets all_icmp

Правила gre:
1 in Allow gre remote_net lan lannet all_services
2 out Allow lan lannet gre remote_net all_services
3 ping Allow gre remote_net any all-nets all_icmp

Роуты:
1 Маршрут gre remote_net 80
2 Маршрут wan1 wan1net 100
3 Маршрут wan1 all-nets wan1_gw 100
4 Маршрут lan lannet 100
Вернуться наверх
 Профиль  
 
Vladimir22
 Заголовок сообщения: Re: GRE туннель между DFL 800 и Ubuntu server
СообщениеДобавлено: Вт апр 12, 2016 22:17 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
Запускпем пинг и смотрим в статусах соединения на дфл . + зрим в тцпдамп паралельно и смотрим где теряется ... остальнле гадаие на лепесткпх ромашки .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 278

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB