Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Проброс IPSec. (http://forum.oszone.net/showthread.php?t=323594)

mspuz 07-02-2017 14:30 2709695
Проброс IPSec.
 
Вложений: 2
  • pic1.jpg (0 bytes, скачиваний: 0)
  • pic2.jpg (0 bytes, скачиваний: 0)
Добрый день. Используется Kerio. Дилер привез свою железку - TP-Link TL-ER6120, данная железка находиться за Kerio и получила от нас IP-адрес, а далее раздает интернет своим компам. На TP-Link поднят VPN-туннель (Файл 143269). Необходимо прописать правила на Kerio, чтобы траффик по этому туннелю ходил туда и обратно (спецам дилера нужен доступ к машинам, которые подключены к TP-Link).
Создал правило - Файл 143270, туннель поднялся, но траффик не ходит. Как сформировать правило не понимаю. Для IP-шника TL-ER6120 пробовал все разрешать, не получается.

freese 07-02-2017 16:59 2709732
вынести в dmz пробовали?

mspuz 08-02-2017 09:37 2709886
Интерфейсов всего два, я так понимаю для DMZ нужен отдельный интерфейс. К тому же в процессе "тыка" получилось настроить все правильно (дилер утверждает, что несколько дней все работало как надо), но что потом случилось не знаю. Т.е. можно настроить и без DMZ, просто у меня нет понимания, что и как, а дилер отказывается разбираться.

freese 08-02-2017 09:54 2709889
Цитата:
Цитата mspuz
К тому же в процессе "тыка" получилось настроить все правильно (дилер утверждает, что несколько дней все работало как надо), но что потом случилось не знаю. »
может дело и не в вашем шлюзе, вы же не знаете что они себе там понаставили.

mspuz 09-02-2017 11:10 2710316
Вложений: 1
  • pic3.jpg (0 bytes, скачиваний: 0)
На TP-Link следующие настройки - Файл 143328. Дилер от себя должен пропинговать - 10.128.94.11, но пинги не проходят. Я должен суметь пропинговать IP 172.18.0.254, пока тоже безрезультатно. TP-Link имеет IP-адрес 192.168.111.103, к нему подключены компьютеры, все они имеют доступ в интернет (ip-шники получили из подсети 10.128.94.х), к ним есть доступ через TeamViewer, но нужен доступ через VPN. Не могу сообразить как настроить правила? Например, что мне указывать в источнике, а что в назначении?

cameron 09-02-2017 12:18 2710342
какая-то каша.
если туннель есть, а траффик внутри не ходит - проблема не в керио.
а вот то, что вы ещё как-то туда должны получить доступ - об этом нет ни слова.

итого:
1. физическая схема включения.
2. логика traffic flow

mspuz 10-02-2017 11:12 2710631
У меня тоже подозрение, что дело не в Kerio. Правило для дилера одно. От Kerio идет провод на "центральный" свитч, оттуда провод к другому зданию в следующий свитч и уже отсюда непосредственно в wan TP-Link дилера. Все свитчи обычные. На Kerio специально ничего не запрещал, в принципе все по умолчанию.

mspuz 16-02-2017 10:22 2712195
Вот что отвечает дилер:

Цитата:
При поднятом туннеле с нашей стороны оборудование дилера не видно при условии что TPLink подключен за оборудованием дилера.

Если пинговать с обратной стороны в нашу сеть внутри туннеля до 172.18.0.254 трафик начинает ходить в обе стороны.

Проверьте, если пинг ходит, настраивайте правило или батник.

cameron 16-02-2017 21:19 2712361
на мои вопросы ответьте.

mspuz 17-02-2017 09:17 2712438
cameron, Правило для дилера одно. От Kerio идет провод на "центральный" свитч, оттуда провод к другому зданию в следующий свитч и уже отсюда непосредственно в wan TP-Link дилера. Все свитчи обычные. На Kerio специально ничего не запрещал, в принципе все по умолчанию.

cameron 17-02-2017 09:54 2712449
сложно.
ок.
"дилер" должен поднять site-to-site VPN с учётом того, что один из ендпоинтов за НАТом и должен быть инициатором.
это поддерживается на 99% устройств.
далее от вашего керио ничего не зависит.

mspuz 17-02-2017 14:08 2712527
Все получилось. Оказалось на kerio создал правило от IP 89.108.90.28-любой траффик-перенаправление на 192.168.111.103 и все заработало.


Время: 22:37.

Время: 22:37.
© OSzone.net 2001-