Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   [решено] VPN IPSEC DFL800vsDFL260E (http://forum.oszone.net/showthread.php?t=264347)

Vachovskii 15-07-2013 15:24 2184980
VPN IPSEC DFL800vsDFL260E
 
Всем привет! Сабж такой: осилил мануал по netdefendOS и теперь нужно поднять ВПН туннель на ключе PSK.
Рулю устройствами через лан порты.
В качестве локальной сети для ВПН делаю частную сеть на портах DMZ обоих устройств.
Сам туннель через Ван порты и соединяю их патчкордом. Днсы прописаны провайдерские, ибо ось их требует но они соответственно не работают - выхода на сеть провайдера нет.
Ключи создал, объекты шлюзи и сети добавил, интерфейс IPSEC добавил на обоих - все сделано зеркально как и положено. Входщее и исходящее правила добавлены на обоих; маршруты пробовал и динамические и статические; ключ завел одинаковый на обоих. Как вычитал тунель должен поднятся после отправки пинга на сеть (в моем случае) DMZ порта. Пинг дропится несмотря на наличие правил у обоих с видом сервиса "all_services". Инкапсуляция тунельная, все в режиме medium, IKE не трогал, все дефолтное.
Если специально добавить правила all_icmp на адреса шлюзов DMZ или Wan портов - пинги проходят, но в сеть DMZ не проходят.
Логи ничего не дают. Кроме ругани что с противоположно устройства идут запросы к ДНСам ничего не нет. Статистика VPN тунеля нулевая.
Время выставлено один в один. Не знаю что еще. В ТП не обращался. Перед настройкой устройства былы сброшены на заводские установки.

James Marsh 16-07-2013 11:31 2185412
Шотто вы намудрили....

1. Четко по вопросу: ftp://ftp.dlink.ru/pub/FireWall/_rus...n%20tunnel.pdf

2. В довесок: - http://www.dlink.ua/dfl_faq_4

А ЧаВо по ДФЛькам - http://www.dlink.ua/dfl

Vachovskii 16-07-2013 14:39 2185472
Спасибо, изучаю ресурсы.
Такая версия возникла: может быть туннель не поднимается при подключении порт в порт? Нужно один дома один в офис кинуть, может через дикий инет поднимется?

Vachovskii 18-07-2013 10:03 2186441
Закрыл вопрос. Решено путем объединения интерфейсов локального и IPsec в одну группу и добавлением лишь одного правила для общения, а не двух(одно на входящий трафик другое на исходящий) как было указано в мануале.
Решение было взято из EN мануала.

James Marsh 18-07-2013 22:47 2186908
В принципе не сильно удобно...

Для удобства, при последующем масштабировании:
1. создайте группу интефейсов "ВПН", туда включите созданный айписек(и)
2. создайте папку айпи-правил "ВПН" куда впишите
№ NAME ACTION SouIface SouNetw DestIface DestNetw Service
1 allow_to_ipsec Allow any all-nets vpn_all all-nets all_tcpudpicmp
2 allow_from_ipsec Allow vpn_all all-nets any all-nets all_tcpudpicmp


Время: 14:06.

Время: 14:06.
© OSzone.net 2001-