Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".

Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542

Убедительная просьба не дублировать темы на старом/новом форуме.

IPSec туннель устанавливается, но нет доступа к сегментам се

SafeStream гигабитный широкополосный VPN маршрутизатор
Ответить
Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

IPSec туннель устанавливается, но нет доступа к сегментам се

Сообщение Bargu3in » 07 апр 2015, 08:43

Аппаратная версия устройства: v2
Версия прошивки: 1.2.2 Build 140212 Rel.58039n
Ваша страна: Россия
Название провайдера: Экстрим Интернет
Тип подключения: Dynamic IP
Подключение с ПК по wifi или по кабелю?: кабель
Аппаратная версия устройства: v2
Версия прошивки: 1.2.2 Build 140212 Rel.58039n
Ваша страна: Россия
Название провайдера: Экстрим Интернет
Тип подключения: Dynamic IP
Здравствуйте.
Мне необходимо установить туннель между удаленной сетью (TL-R600VPN) ЦОД'ом.

Судя по логам, туннель устанавливается:
####################################################################
# TL-R600VPN System Log
# Time = 2015-04-07 15:07:12 429437s
# H-Ver = R600VPN v2 00000000 : S-Ver = 1.2.2 Build 140212 Rel.58039n
# L = 192.168.12.1 : M = 255.255.255.0
# W1 = DHCP : W = XXX.XXX.146.145 : M = 255.255.255.128 : G = XXX.XXX.146.129
####################################################################
...
Apr 7 14:35:58 VPN INFO respond new phase 2 negotiation: XXX.XXX.146.145[500]<=>YYY.YYY.28.78[500]
Apr 7 14:35:58 VPN INFO IPsec-SA established: ESP/Tunnel YYY.YYY.28.78[0]->XXX.XXX.146.145[0] spi=83314431(0x4f746ff)
Apr 7 14:35:58 VPN INFO IPsec-SA established: ESP/Tunnel XXX.XXX.146.145[0]->YYY.YYY.28.78[0] spi=489278437(0x1d29cbe5)
...
Apr 7 14:45:17 VPN INFO respond new phase 1 negotiation: XXX.XXX.146.145[500]<=>YYY.YYY.28.78[500]
Apr 7 14:45:17 VPN INFO Selected NAT-T version: RFC 3947
Apr 7 14:45:18 VPN INFO NAT not detected
Apr 7 14:45:18 VPN INFO ISAKMP-SA established XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:631bc7e3170c58bc:bfa2ca9a9bdcd9af
...
Apr 7 15:02:26 VPN INFO ISAKMP-SA expired XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:bd294b4e3657a23b:910f434e8a447bd1
Apr 7 15:02:27 VPN INFO ISAKMP-SA deleted XXX.XXX.146.145[500]-YYY.YYY.28.78[500] spi:bd294b4e3657a23b:910f434e8a447bd1

Но меня смущает следующее:

Apr 7 14:45:17 VPN INFO Selected NAT-T version: RFC 3947
Apr 7 14:45:18 VPN INFO NAT not detected

И самое главное, я не могу получить доступ ни к удаленной сети из ЦОД'а, ни к ЦОД'у из удаленной сети.

Мои настройки

IKE:
• Exchange Mode: Main
• Authentication Algorithm: SHA1
• Encryption Algorithm: 3DES
• DH Group: DH2
• SA Lifetime: 28800
• DPD: Disable

IPSec:
• Exchange Mode: IKE
• Security Protocol: ESP
• Authentication Algorithm: SHA1
• Encryption Algorithm: 3DES
• PFS Group: DH2
Lifetime: 3600

Такая проблема наблюдается только с одним филиалом в г.Владивосток... в остальных филиалах (их более 30) все нормально. Оборудование однотипное, настройки такие же.

В чем может быть проблема?
PS
На буржуинском форуме описывалась подобная проблема, но там все закончилось заменой оборудование на Mikrotik

Elusion
Сообщения: 159
Зарегистрирован: 18 окт 2014, 11:45
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Elusion » 08 апр 2015, 11:10

Оба маршрутизатора r600?
Оба ip- реальные?
Что если настроить aggressive, а не main?

Настраивал на 6120+842 1 за натом, второй с реальником в aggressive - все ок
6120+r600 с 2-мя реальниками lan-to-lan в режиме main- все окей работало

ИМХО странная проблема :(

Приведу на всякий пожарный настройку для aggressive на 842-ом(наиболее близок к r600), мб поможет

режим- агрессивный
тип идентификатора- имя
локальный id- 3333
удаленный id- 2222
алгоритм аутентификации- md5
Алгоритм шифрования- 3des
группа DH- dh2
DPD- откл

Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Bargu3in » 08 апр 2015, 11:29

Добрый день.
Elusion писал(а):Оба маршрутизатора r600?
- Нет. R600 только один - цепляется к ЦОД'у

ЦОД выставляет определенные требования для построения Site-to-Site:

Phase 1 Mode: IKE with pre-shared Key (192 symbols)
Phase 1 DH Group: Group 2
Phase 1 Encryption: 3DES
Phase 1 Authentication: SHA1
Phase 1 SA Life: 28800

Phase 2 DH Group: Group 2
Phase 2 Encryption: 3DES
Phase 2 Authentication: SHA1
Phase 2 SA Life: 3600

ЦОД предоставляет облачный сервис vCloud, с настройками которого проблем не было - у нас подключено к нему более 30 филиалов по России, используя те же R600

Elusion
Сообщения: 159
Зарегистрирован: 18 окт 2014, 11:45
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Elusion » 08 апр 2015, 16:06

Ну тогда суть проблемы в логике происходящего.

есть много одинаковых устройств, с одинаковой прошивкой, все работают кроме одного. Что ему мешает? В чем разница между ним и другими, работающими?

разница:
1)провайдер
2)ip
мб что-то еще

все это сторонние факторы к r600 не имеющие никакого отношения.

возможно у сервера ограниченное кол-во ipsec-сессий, возможно ему не нравится Ваш ip.

В логах эти строчки видимо означает "задействую NAT-T, NAT не обнаружен", если у ЦОда белый ip, то эти строчки никакого криминала за собой скорее всего не несут.

Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Bargu3in » 27 апр 2015, 07:14

Скорее всего провайдер.

ander80
Сообщения: 2
Зарегистрирован: 24 янв 2016, 15:18
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение ander80 » 24 янв 2016, 15:21

Точно такая-же проблема, причем провайдер один, точки в одном городе. При подключении с другого провайдера все работает, пров своей вины не признает. У вас как-то решилась эта проблема?

Bargu3in
Сообщения: 4
Зарегистрирован: 07 апр 2015, 08:28
Страна: Россия

Re: IPSec туннель устанавливается, но нет доступа к сегмента

Сообщение Bargu3in » 25 янв 2016, 04:47

ander80 писал(а):Точно такая-же проблема, причем провайдер один, точки в одном городе. При подключении с другого провайдера все работает, пров своей вины не признает. У вас как-то решилась эта проблема?
Виноват провайдер. Мы своего попытали - все решилось

Ответить

Вернуться в «TL-R600VPN»