IPSec туннель устанавливается, но нет доступа к сегментам се

SafeStream гигабитный широкополосный VPN маршрутизатор
Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

IPSec туннель устанавливается, но нет доступа к сегментам се

Сообщение Bargu3in » 07 апр 2015, 08:43

Аппаратная версия устройства: v2
Версия прошивки: 1.2.2 Build 140212 Rel.58039n
Ваша страна: Россия
Название провайдера: Экстрим Интернет
Тип подключения: Dynamic IP
Подключение с ПК по wifi или по кабелю?: кабель
Аппаратная версия устройства: v2
Версия прошивки: 1.2.2 Build 140212 Rel.58039n
Ваша страна: Россия
Название провайдера: Экстрим Интернет
Тип подключения: Dynamic IP
Здравствуйте.
Мне необходимо установить туннель между удаленной сетью (TL-R600VPN) ЦОД'ом.

Судя по логам, туннель устанавливается:
####################################################################
# TL-R600VPN System Log
# Time = 2015-04-07 15:07:12 429437s
# H-Ver = R600VPN v2 00000000 : S-Ver = 1.2.2 Build 140212 Rel.58039n
# L = 192.168.12.1 : M = 255.255.255.0
# W1 = DHCP : W = XXX.XXX.146.145 : M = 255.255.255.128 : G = XXX.XXX.146.129
####################################################################
...
Apr 7 14:35:58 VPN INFO respond new phase 2 negotiation: XXX.XXX.146.145[500]<=>YYY.YYY.28.78[500]
Apr 7 14:35:58 VPN INFO IPsec-SA established: ESP/Tunnel YYY.YYY.28.78[0]->XXX.XXX.146.145[0] spi=83314431(0x4f746ff)
Apr 7 14:35:58 VPN INFO IPsec-SA established: ESP/Tunnel XXX.XXX.146.145[0]->YYY.YYY.28.78[0] spi=489278437(0x1d29cbe5)
...
Apr 7 14:45:17 VPN INFO respond new phase 1 negotiation: XXX.XXX.146.145[500]<=>YYY.YYY.28.78[500]
Apr 7 14:45:17 VPN INFO Selected NAT-T version: RFC 3947
Apr 7 14:45:18 VPN INFO NAT not detected
Apr 7 14:45:18 VPN INFO ISAKMP-SA established XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:631bc7e3170c58bc:bfa2ca9a9bdcd9af
...
Apr 7 15:02:26 VPN INFO ISAKMP-SA expired XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:bd294b4e3657a23b:910f434e8a447bd1
Apr 7 15:02:27 VPN INFO ISAKMP-SA deleted XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:bd294b4e3657a23b:910f434e8a447bd1

Но меня смущает следующее:

Apr 7 14:45:17 VPN INFO Selected NAT-T version: RFC 3947
Apr 7 14:45:18 VPN INFO NAT not detected

И самое главное, я не могу получить доступ ни к удаленной сети из ЦОД'а, ни к ЦОД'у из удаленной сети.

Мои настройки

IKE:
• Exchange Mode: Main
• Authentication Algorithm: SHA1
• Encryption Algorithm: 3DES
• DH Group: DH2
• SA Lifetime: 28800
• DPD: Disable

IPSec:
• Exchange Mode: IKE
• Security Protocol: ESP
• Authentication Algorithm: SHA1
• Encryption Algorithm: 3DES
• PFS Group: DH2
Lifetime: 3600

Такая проблема наблюдается только с одним филиалом в г.Владивосток... в остальных филиалах (их более 30) все нормально. Оборудование однотипное, настройки такие же.

В чем может быть проблема?
PS
На буржуинском форуме описывалась подобная проблема, но там все закончилось заменой оборудование на Mikrotik
Elusion
Сообщения: 159
Зарегистрирован: 18 окт 2014, 11:45
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Elusion » 08 апр 2015, 11:10

Оба маршрутизатора r600?
Оба ip- реальные?
Что если настроить aggressive, а не main?

Настраивал на 6120+842 1 за натом, второй с реальником в aggressive - все ок
6120+r600 с 2-мя реальниками lan-to-lan в режиме main- все окей работало

ИМХО странная проблема :(

Приведу на всякий пожарный настройку для aggressive на 842-ом(наиболее близок к r600), мб поможет

режим- агрессивный
тип идентификатора- имя
локальный id- 3333
удаленный id- 2222
алгоритм аутентификации- md5
Алгоритм шифрования- 3des
группа DH- dh2
DPD- откл
Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Bargu3in » 08 апр 2015, 11:29

Добрый день.

Elusion писал(а):Оба маршрутизатора r600?
- Нет. R600 только один - цепляется к ЦОД'у

ЦОД выставляет определенные требования для построения Site-to-Site:

Phase 1 Mode: IKE with pre-shared Key (192 symbols)
Phase 1 DH Group: Group 2
Phase 1 Encryption: 3DES
Phase 1 Authentication: SHA1
Phase 1 SA Life: 28800

Phase 2 DH Group: Group 2
Phase 2 Encryption: 3DES
Phase 2 Authentication: SHA1
Phase 2 SA Life: 3600

ЦОД предоставляет облачный сервис vCloud, с настройками которого проблем не было - у нас подключено к нему более 30 филиалов по России, используя те же R600
Elusion
Сообщения: 159
Зарегистрирован: 18 окт 2014, 11:45
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Elusion » 08 апр 2015, 16:06

Ну тогда суть проблемы в логике происходящего.

есть много одинаковых устройств, с одинаковой прошивкой, все работают кроме одного. Что ему мешает? В чем разница между ним и другими, работающими?

разница:
1)провайдер
2)ip
мб что-то еще

все это сторонние факторы к r600 не имеющие никакого отношения.

возможно у сервера ограниченное кол-во ipsec-сессий, возможно ему не нравится Ваш ip.

В логах эти строчки видимо означает "задействую NAT-T, NAT не обнаружен", если у ЦОда белый ip, то эти строчки никакого криминала за собой скорее всего не несут.
Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Bargu3in » 27 апр 2015, 07:14

Скорее всего провайдер.
ander80
Сообщения: 2
Зарегистрирован: 24 янв 2016, 15:18
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение ander80 » 24 янв 2016, 15:21

Точно такая-же проблема, причем провайдер один, точки в одном городе. При подключении с другого провайдера все работает, пров своей вины не признает. У вас как-то решилась эта проблема?
Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Bargu3in » 25 янв 2016, 04:47

ander80 писал(а):Точно такая-же проблема, причем провайдер один, точки в одном городе. При подключении с другого провайдера все работает, пров своей вины не признает. У вас как-то решилась эта проблема?


Виноват провайдер. Мы своего попытали - все решилось

Вернуться в «TL-R600VPN»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость