faq обучение настройка
Текущее время: Ср окт 21, 2020 10:22

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 08:48 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
была связка DFL-800 <-ipsec-> DFL-1660 (макс 20мбит). (туннель не allnets)
на стенде заменили на DFL-800 на DFL-870 - туннель поднимается - ping и trace ходят из между сетями через тоннель.
кроме ICMP ничего через туннель не проходит !!! в правилах fastforward по умолчанию на всё! маршруты работают - так как ping'и и трейсы работают.

подскажите где посмотреть, в чём может быть блокировка. даже сам DFL-870 не может ресолвить DNS с удалённой подсети хотя пинги до DNS проходят...

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 09:36 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8615
Откуда: Москва
прошивки какие?

И зачем правила ФорвардФаст? Обычные Allow чем не устраивают?

Посмотрите этот топик, там показано как сделать тоннель All-Nets и рулить потом только маршрутами и правилами: viewtopic.php?f=3&t=174887

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 10:10 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
1. Топик читал - на 800 в своё время это сам руками допёр..
2. поменял на Allow - результат тот-же только ICMP
3. поставил Allow на DNS с логированием:
2019-11-22 10:02:58 Info CONN 600001 "Allow_to" UDP lan2 if-kamti 10.80.0.10 10.18.0.11 6330253 conn_open satsrcrule="" satdestrule="" dstcountry="" srccountry="" srcusername="" destusername="" conn=open
2019-11-22 10:02:56 Info CONN 600001 "Allow_to" UDP lan2 if-kamti 10.80.0.10 10.18.0.11 63301 53 conn_open satsrcrule="" satdestrule="" dstcountry="" srccountry="" srcusername="" destusername="" conn=open
2019-11-22 10:02:54 Info CONN 600002 "Allow_to" UDP lan2 if-kamti 10.80.0.10 10.18.0.11 53126 53 conn_close close satsrcrule="" satdestrule="" dstcountry="" srccountry="" srcusername="" destusername="" conn=close origsent=252 termsent=0 conntime=139 app_name="" app_risk="" app_family="" iprep_src="" iprep_dest="" iprep_src_score="" iprep_dest_score="" reason=""
2019-11-22 10:02:54 InfoCONN 600002 "Allow_to" UDP lan2 if-kamti 10.80.0.10 10.65.0.11 53126 53 conn_close close satsrcrule="" satdestrule="" dstcountry="" srccountry="" srcusername="" destusername="" conn=close origsent=189 termsent=0 conntime=138 app_name="" app_risk="" app_family="" iprep_src="" iprep_dest="" iprep_src_score="" iprep_dest_score="" reason=""

_________________
с Уважением,
Дмитрий Митрофанов


Последний раз редактировалось govard236 Пт ноя 22, 2019 10:12, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 10:11 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
DFL-1660
2.27.30.03-26420
Apr 8 2015

DFL-870
2.27.32.05-34690

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 10:17 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
Ещё дополнение - сейчас это уже второй туннель на 1660 он центр с allNets
на боевом DFL-800 (с 10.64/14); на DFL-870 (10.80/14)
рабочий DFL-800 сейчас в работе и проблем с трафиком по тоннелю нет.
тестовый DFL-870 - трейсы и пинги работают - в этом и непонятка! почему не идут UDP и TCP

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 10:26 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
Отбой.
поставил на центре 1660 разрешающие правила специально на тоннель к DFL-870 и всё заработало!....
в итоге обнаружил интересное поведение правила fastForward
у меня в конце правил стоит fastForward any all-nets any all-nets all_servces
так вот на первый ipsec тоннель это работает
а на второй - нет ! и дополнительные пара fastForward c объявлением тоннеля и подсети назначения не работают! только allow на удалённую сеть!

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 11:26 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8615
Откуда: Москва
govard236 писал(а):
DFL-1660
2.27.30.03-26420
Apr 8 2015

DFL-870
2.27.32.05-34690
Почему не переходим на 12ю прошивку?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 13:00 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
>> Почему не переходим на 12ю прошивку?
что не переводим ? 1660? или 870? и ссылку на прошивку в студию, если конечно на ru.

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 13:20 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8615
Откуда: Москва
https://tsd.dlink.com.tw/

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пт ноя 22, 2019 14:09 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8615
Откуда: Москва
govard236 писал(а):
...и ссылку на прошивку в студию, если конечно на ru.
А поставить прошивку не RU что-то мешает?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пн ноя 25, 2019 12:28 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
Вот на 1660 сегодня прошился .... и заблокировался роутер файл license ... до обеда пляски с бубном, потом сброс на заводские (хорошо что и прошивка сбросилась) и восстановление system backup.

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ipsec DFL-870 <-> DFL-1660
СообщениеДобавлено: Пн ноя 25, 2019 12:44 
Не в сети

Зарегистрирован: Пн дек 15, 2008 13:12
Сообщений: 60
Откуда: Пенза
постепенно по версиям прошился до 12.00.21
Ура!

тема закрыта

_________________
с Уважением,
Дмитрий Митрофанов


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB