faq обучение настройка
Текущее время: Чт мар 28, 2024 09:11

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
СообщениеДобавлено: Вт июл 30, 2019 10:32 
Не в сети

Зарегистрирован: Вт апр 10, 2007 11:55
Сообщений: 37
Откуда: Европа, Украина, Запорожье.
Добрый День.

У меня используются маршрутизаторы DFL-860E с прошивкой 12.00.13.05-34465.
На каждом DFL на порту WAN1 провайдер "А" выдает 1 статический IP адрес, на порту WAN2 провайдер "Б" выдает 5 статических IP адресов (маска /29).
Сейчас на маршрутизаторах настроены и прекрасно одновременно работают VPN IPSec:
IPSec1: DFL №1 WAN1 - DFL №2 WAN1
IPSec2: DFL №1 WAN2 - DFL №2 WAN2
В VPN IPSec привязаны "Local Endpoint", "Source Interface" и естественно "Remote Endpoint"
Если пропадает интернет от любого провайдера (А или Б) на любом маршрутизаторе мониторинг отключает не рабочий IPSec, если перестает работать IPSec1 через пару секунд переключается на IPSec2.

Но из-за участивщихся краж оборудования провайдера были случаи когда на одном маршрутизаторе нет провайдера "А" а на втором нет провайдера "Б", в результате чего не работают оба VPN.

Решил сделать еще пару VPN IPSec:
IPSec3: DFL №1 WAN1 - DFL №2 WAN2
IPSec4: DFL №1 WAN2 - DFL №2 WAN1
Но такая схема не заработала из-за правил маршрутизации:
Сеть провайдера "А" идет через порт WAN1 при этом мониторится шлюз и пара DNS серверов Google+CloudFlare
Сеть провайдера "Б" идет через порт WAN2 при этом мониторится шлюз и пара DNS серверов Google+CloudFlare.

Добавил в разделе "ARP/Neighbor Discovery" WAN2_2_IP (провайдер выдает 5 IP-адресов)
Сделала VPN IPSec:
IPSec3: DFL №1 WAN1 - DFL №2 WAN2_2_IP
IPSec4: DFL №1 WAN2_2_IP - DFL №2 WAN1
В маршрутизацие добавил правило:
1.Core/WAN2_2_IP/none/none/0 (Metric)
2.для второго DFL WAN2_2_IP идет через порт WAN1 при этом мониторится WAN2_2_IP
И ничего не заработало.

Провел расследование, выявил следующее:
1. Из внутри сети (с LAN) ping на WAN2_2_IP проходит
2. Из вне но с сети провайдера "Б" ping на WAN2_2_IP проходит
3. Из вне с сети провайдера "А" (а также пары других провайдеров) ping на WAN2_2_IP не проходит, роутер пишит "Default_Access_Rule".

Все варианты заставить пинговатся WAN2_2_IP с другиз провайдеров не привели к результату.

В маршрутизацие изменил правило:
WAN2_2_IP идет через порт WAN1 без мониторинга.
VPN IPSec 3 и 4 все равно не заработали. Влогах есть такие сообщения:
Для IPSec3: DFL №1 WAN1 - DFL №2 WAN2_2_IP:
"statusmsg="Timed out" reason="" local_peer="Х.Х.Х.Х:500 ID (null)" remote_peer="У.У.У.У:500 ID (null)" spi_i=0x6df561c64eb7ab78 spi_r=0x0000000000000000 initiator=TRUE "
Для IPSec4: DFL №1 WAN2_2_IP - DFL №2 WAN1:
"statusmsg="Negotiation not started" reason="Remote endpoints aren't routeable nor responsive." local_peer="n/a" remote_peer="n/a" spi_i=n/a spi_r=n/a initiator=TRUE"

На сколько я понял:
1.DFL не панимает куда маршрутизирывать WAN2_2_IP за пределы сети WAN2 тоесть провайдера "Б"
2.DFL не хочет подымать VPN IPSec на WAN2_2_IP

Как заставить работать мою схему?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июл 30, 2019 16:05 
Не в сети

Зарегистрирован: Вт апр 10, 2007 11:55
Сообщений: 37
Откуда: Европа, Украина, Запорожье.
Забыл дописать:
Второй роутер видит подключение на порт WAN2 адрес У.У.У.У порт 500 с первого роутера с адреса Х.Х.Х.Х порт 500 но пишит ошибку "Default_Access_Rule" и пакеты отбрасывает "ruleset_drop_packet/drop"


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 31, 2019 11:55 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
viewtopic.php?f=3&t=114002

адреса так привязывали?

кроме того, существует инструкция построения схемы IPsec (2 wan x 2 wan = 4 канала). Поищите здесь на форуме, или обратитесь в московский офис Длинк.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 05, 2019 10:04 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
http://www.dlink.ru/ru/faq/331/1724.html


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 05, 2019 10:10 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
ev1 писал(а):
роутер пишит "Default_Access_Rule".

значит нет правила для этого пакета
дайте запись лога и скриншот правила (по которому этот пакет должен пройти)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 05, 2019 10:21 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
ev1 писал(а):
Забыл дописать:
Второй роутер видит подключение на порт WAN2 адрес У.У.У.У порт 500 с первого роутера с адреса Х.Х.Х.Х порт 500 но пишит ошибку "Default_Access_Rule" и пакеты отбрасывает "ruleset_drop_packet/drop"

это может быть когда снята галка "L2TP Before Rules" в PPTP/L2TP server settings или пакеты приходят не на Outer interface указанный на L2TP сервере, например - указан ipsec туннель, а пакеты идут на wan (такое бывает, когда в винде вместо ipsec_l2tp выбирают просто l2tp)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 06, 2019 14:40 
Не в сети

Зарегистрирован: Вт апр 10, 2007 11:55
Сообщений: 37
Откуда: Европа, Украина, Запорожье.
После долгих изучений мануалов и особенно сайта Клавистера мне удалось собрать схему:
2 маршрутизатора * 2 интернет провайдера = 4 активных VPN IPSec без использования вторых IP на порту WAN2.
Была использована вторая таблица маршрутизации для VPN IPSec #3 #4

Извиняюсь - не увидел что картинки идут снизу вверх - но можно понять по подписи картинки


Вложения:
Комментарий к файлу: DFL-860E - 1.IPSec Status - 3.IKE SAs
DFL-860E - 1.IPSec Status - 3.IKE SAs.jpg
DFL-860E - 1.IPSec Status - 3.IKE SAs.jpg [ 157.93 KiB | Просмотров: 3971 ]
Комментарий к файлу: DFL-860E - 1.IPSec Status - 2.Global Statistics
DFL-860E - 1.IPSec Status - 2.Global Statistics.jpg
DFL-860E - 1.IPSec Status - 2.Global Statistics.jpg [ 288.46 KiB | Просмотров: 3971 ]
Комментарий к файлу: DFL-860E - 1.IPSec Status - 1.IPSec Status
DFL-860E - 1.IPSec Status - 1.IPSec Status.jpg
DFL-860E - 1.IPSec Status - 1.IPSec Status.jpg [ 157.11 KiB | Просмотров: 3971 ]


Последний раз редактировалось ev1 Вт авг 06, 2019 14:45, всего редактировалось 1 раз.
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 06, 2019 14:42 
Не в сети

Зарегистрирован: Вт апр 10, 2007 11:55
Сообщений: 37
Откуда: Европа, Украина, Запорожье.
Продолжение


Вложения:
Комментарий к файлу: DFL-860E - 1.IPSec Status - 6.IPSec Int Sts 3
DFL-860E - 1.IPSec Status - 6.IPSec Int Sts 3.jpg
DFL-860E - 1.IPSec Status - 6.IPSec Int Sts 3.jpg [ 148.94 KiB | Просмотров: 3970 ]
Комментарий к файлу: DFL-860E - 1.IPSec Status - 5.IPSec Int Sts 2
DFL-860E - 1.IPSec Status - 5.IPSec Int Sts 2.jpg
DFL-860E - 1.IPSec Status - 5.IPSec Int Sts 2.jpg [ 148.71 KiB | Просмотров: 3970 ]
Комментарий к файлу: DFL-860E - 1.IPSec Status - 4.IPSec Int Sts 1
DFL-860E - 1.IPSec Status - 4.IPSec Int Sts 1.jpg
DFL-860E - 1.IPSec Status - 4.IPSec Int Sts 1.jpg [ 156.03 KiB | Просмотров: 3970 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 06, 2019 14:44 
Не в сети

Зарегистрирован: Вт апр 10, 2007 11:55
Сообщений: 37
Откуда: Европа, Украина, Запорожье.
Окончание


Вложения:
Комментарий к файлу: DFL-860E - 2.Routing Table - 2.IPSec
DFL-860E - 2.Routing Table - 2.IPSec.jpg
DFL-860E - 2.Routing Table - 2.IPSec.jpg [ 167.78 KiB | Просмотров: 3969 ]
Комментарий к файлу: DFL-860E - 2.Routing Table - 1.Main
DFL-860E - 2.Routing Table - 1.Main.jpg
DFL-860E - 2.Routing Table - 1.Main.jpg [ 197.01 KiB | Просмотров: 3969 ]
Комментарий к файлу: DFL-860E - 1.IPSec Status - 7.IPSec Int Sts 4
DFL-860E - 1.IPSec Status - 7.IPSec Int Sts 4.jpg
DFL-860E - 1.IPSec Status - 7.IPSec Int Sts 4.jpg [ 146.25 KiB | Просмотров: 3969 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 08, 2019 08:53 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
схемку бы нарисовать или описание, не совсем понятно, такие схемы требуют "вкуривания" и быстро забываются, поэтом лучше на форуме оставлять более подробные описания, потом легче вспоминать :)
какое-то время назад, делала подобное (viewtopic.php?f=3&t=171182), попытался задокументировать поподробней, и себе и сообществу польза


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 12


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB