Аппаратная версия устройства: v2
Версия прошивки: 1.2.2 Build 140212 Rel.58039n
Ваша страна: Россия
Название провайдера: Экстрим Интернет
Тип подключения: Dynamic IP
Подключение с ПК по wifi или по кабелю?: кабель
Аппаратная версия устройства: v2
Версия прошивки: 1.2.2 Build 140212 Rel.58039n
Ваша страна: Россия
Название провайдера: Экстрим Интернет
Тип подключения: Dynamic IP
Здравствуйте.
Мне необходимо установить туннель между удаленной сетью (TL-R600VPN) ЦОД'ом.
Судя по логам, туннель устанавливается:
####################################################################
# TL-R600VPN System Log
# Time = 2015-04-07 15:07:12 429437s
# H-Ver = R600VPN v2 00000000 : S-Ver = 1.2.2 Build 140212 Rel.58039n
# L = 192.168.12.1 : M = 255.255.255.0
# W1 = DHCP : W = XXX.XXX.146.145 : M = 255.255.255.128 : G = XXX.XXX.146.129
####################################################################
...
Apr 7 14:35:58 VPN INFO respond new phase 2 negotiation: XXX.XXX.146.145[500]<=>YYY.YYY.28.78[500]
Apr 7 14:35:58 VPN INFO IPsec-SA established: ESP/Tunnel YYY.YYY.28.78[0]->XXX.XXX.146.145[0] spi=83314431(0x4f746ff)
Apr 7 14:35:58 VPN INFO IPsec-SA established: ESP/Tunnel XXX.XXX.146.145[0]->YYY.YYY.28.78[0] spi=489278437(0x1d29cbe5)
...
Apr 7 14:45:17 VPN INFO respond new phase 1 negotiation: XXX.XXX.146.145[500]<=>YYY.YYY.28.78[500]
Apr 7 14:45:17 VPN INFO Selected NAT-T version: RFC 3947
Apr 7 14:45:18 VPN INFO NAT not detected
Apr 7 14:45:18 VPN INFO ISAKMP-SA established XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:631bc7e3170c58bc:bfa2ca9a9bdcd9af
...
Apr 7 15:02:26 VPN INFO ISAKMP-SA expired XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:bd294b4e3657a23b:910f434e8a447bd1
Apr 7 15:02:27 VPN INFO ISAKMP-SA deleted XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:bd294b4e3657a23b:910f434e8a447bd1
Но меня смущает следующее:
Apr 7 14:45:17 VPN INFO Selected NAT-T version: RFC 3947
Apr 7 14:45:18 VPN INFO NAT not detected
И самое главное, я не могу получить доступ ни к удаленной сети из ЦОД'а, ни к ЦОД'у из удаленной сети.
Мои настройки
IKE:
• Exchange Mode: Main
• Authentication Algorithm: SHA1
• Encryption Algorithm: 3DES
• DH Group: DH2
• SA Lifetime: 28800
• DPD: Disable
IPSec:
• Exchange Mode: IKE
• Security Protocol: ESP
• Authentication Algorithm: SHA1
• Encryption Algorithm: 3DES
• PFS Group: DH2
Lifetime: 3600
Такая проблема наблюдается только с одним филиалом в г.Владивосток... в остальных филиалах (их более 30) все нормально. Оборудование однотипное, настройки такие же.
В чем может быть проблема?
PS
На буржуинском форуме описывалась подобная проблема, но там все закончилось заменой оборудование на Mikrotik
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
IPSec туннель устанавливается, но нет доступа к сегментам се
Правила форума
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Re: IPSec туннель устанавливается, но нет доступа к сегмента
Оба маршрутизатора r600?
Оба ip- реальные?
Что если настроить aggressive, а не main?
Настраивал на 6120+842 1 за натом, второй с реальником в aggressive - все ок
6120+r600 с 2-мя реальниками lan-to-lan в режиме main- все окей работало
ИМХО странная проблема
Приведу на всякий пожарный настройку для aggressive на 842-ом(наиболее близок к r600), мб поможет
режим- агрессивный
тип идентификатора- имя
локальный id- 3333
удаленный id- 2222
алгоритм аутентификации- md5
Алгоритм шифрования- 3des
группа DH- dh2
DPD- откл
Оба ip- реальные?
Что если настроить aggressive, а не main?
Настраивал на 6120+842 1 за натом, второй с реальником в aggressive - все ок
6120+r600 с 2-мя реальниками lan-to-lan в режиме main- все окей работало
ИМХО странная проблема
Приведу на всякий пожарный настройку для aggressive на 842-ом(наиболее близок к r600), мб поможет
режим- агрессивный
тип идентификатора- имя
локальный id- 3333
удаленный id- 2222
алгоритм аутентификации- md5
Алгоритм шифрования- 3des
группа DH- dh2
DPD- откл
Re: IPSec туннель устанавливается, но нет доступа к сегмента
Добрый день.
ЦОД выставляет определенные требования для построения Site-to-Site:
Phase 1 Mode: IKE with pre-shared Key (192 symbols)
Phase 1 DH Group: Group 2
Phase 1 Encryption: 3DES
Phase 1 Authentication: SHA1
Phase 1 SA Life: 28800
Phase 2 DH Group: Group 2
Phase 2 Encryption: 3DES
Phase 2 Authentication: SHA1
Phase 2 SA Life: 3600
ЦОД предоставляет облачный сервис vCloud, с настройками которого проблем не было - у нас подключено к нему более 30 филиалов по России, используя те же R600
- Нет. R600 только один - цепляется к ЦОД'уElusion писал(а):Оба маршрутизатора r600?
ЦОД выставляет определенные требования для построения Site-to-Site:
Phase 1 Mode: IKE with pre-shared Key (192 symbols)
Phase 1 DH Group: Group 2
Phase 1 Encryption: 3DES
Phase 1 Authentication: SHA1
Phase 1 SA Life: 28800
Phase 2 DH Group: Group 2
Phase 2 Encryption: 3DES
Phase 2 Authentication: SHA1
Phase 2 SA Life: 3600
ЦОД предоставляет облачный сервис vCloud, с настройками которого проблем не было - у нас подключено к нему более 30 филиалов по России, используя те же R600
Re: IPSec туннель устанавливается, но нет доступа к сегмента
Ну тогда суть проблемы в логике происходящего.
есть много одинаковых устройств, с одинаковой прошивкой, все работают кроме одного. Что ему мешает? В чем разница между ним и другими, работающими?
разница:
1)провайдер
2)ip
мб что-то еще
все это сторонние факторы к r600 не имеющие никакого отношения.
возможно у сервера ограниченное кол-во ipsec-сессий, возможно ему не нравится Ваш ip.
В логах эти строчки видимо означает "задействую NAT-T, NAT не обнаружен", если у ЦОда белый ip, то эти строчки никакого криминала за собой скорее всего не несут.
есть много одинаковых устройств, с одинаковой прошивкой, все работают кроме одного. Что ему мешает? В чем разница между ним и другими, работающими?
разница:
1)провайдер
2)ip
мб что-то еще
все это сторонние факторы к r600 не имеющие никакого отношения.
возможно у сервера ограниченное кол-во ipsec-сессий, возможно ему не нравится Ваш ip.
В логах эти строчки видимо означает "задействую NAT-T, NAT не обнаружен", если у ЦОда белый ip, то эти строчки никакого криминала за собой скорее всего не несут.
Re: IPSec туннель устанавливается, но нет доступа к сегмента
Скорее всего провайдер.
Re: IPSec туннель устанавливается, но нет доступа к сегмента
Точно такая-же проблема, причем провайдер один, точки в одном городе. При подключении с другого провайдера все работает, пров своей вины не признает. У вас как-то решилась эта проблема?
Re: IPSec туннель устанавливается, но нет доступа к сегмента
Виноват провайдер. Мы своего попытали - все решилосьander80 писал(а):Точно такая-же проблема, причем провайдер один, точки в одном городе. При подключении с другого провайдера все работает, пров своей вины не признает. У вас как-то решилась эта проблема?