|
Помогите победить VPN туннель | ||
|---|---|---|---|
|
0
ssamm
11.06.13
✎
12:18
|
имеется две сетки:
1) 192.168.1.0/24 тут стоит в качестве шлюза роутер Микротик 2) 192.168.0.0/24 тут Zyxel USG 20 Настроил между ними IPSec VPN туннель. Пинги бегают из одной подсети в другую прекрасно. Из первой подсети все работает (Шары со второй подсети открывает, к терминальному серваку цепляюсь и т.д.) А вот из второй в первую, кроме пингов - ничего ((( Уже голову сломал что не так Настройку микротика делал по этому мануалу: http://zyxel.ru/kb/1981 Настройку Зухеля по этому: http://zyxel.ru/kb/2209 |
||
|
1
Fragster
гуру
11.06.13
✎
12:18
|
IPSec в топку, делай на OpenVPN
|
||
|
2
ssamm
11.06.13
✎
12:20
|
(1) а чем плох IPSec ?
|
||
|
3
Fragster
гуру
11.06.13
✎
12:22
|
а вообще если пинги ходят - то дело в файрволле/нате. поставить надо на маршрутизатор что-то типа tcpdump и смотреть на пакетики
|
||
|
4
Fragster
гуру
11.06.13
✎
12:22
|
файрволле/нате/маршрутизации
|
||
|
5
Маратыч
11.06.13
✎
12:24
|
Скорее всего, на микротике зачем-то NAT подняли.
|
||
|
6
ssamm
11.06.13
✎
12:24
|
(3) тоже на это грешил, пробовал файр отключать не помогло, С НАТом вроде все нормально (пинги жеж идут)
|
||
|
7
ssamm
11.06.13
✎
12:25
|
(5) без него и пинги не ходили
|
||
|
8
arsik
гуру
11.06.13
✎
12:25
|
(0) скорее всего в микротике в файерволе нужно разрешить доступ из IPSec интерфейса. У тебя там в правилах скорее всего разрешен пинг отовсюду, вот он и проходит
|
||
|
9
ssamm
11.06.13
✎
12:27
|
(8) спсб, попробую
|
||
|
10
Маратыч
11.06.13
✎
12:28
|
Правила в текст и куда-нибудь на pastebin.
|
||
|
11
Маратыч
11.06.13
✎
12:29
|
+(10) Точнее, конфу микротика.
|
||
|
12
ssamm
11.06.13
✎
12:36
|
(11) а как ее вывести на нем?
|
||
|
13
arsik
гуру
11.06.13
✎
12:38
|
Зайди в консоль микротика
ip firewall filter print ip firewall nat print |
||
|
14
zhig75
11.06.13
✎
12:39
|
На микротике файрвол надо настраивать, ICMP разрешено?
|
||
|
15
Маратыч
11.06.13
✎
12:41
|
|||
|
16
Jump
11.06.13
✎
12:42
|
(0)В правилах нат на вкладке action что стоит?
В файерволе какие правила нарисованы? |
||
|
17
ssamm
11.06.13
✎
12:45
|
вот настройки НАТ и Файрвола:
[admin@MikroTik] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=input action=accept protocol=icmp 1 ;;; default configuration chain=input action=accept connection-state=established 2 ;;; default configuration chain=input action=accept connection-state=related 3 ;;; default configuration chain=input action=drop in-interface=ether1-gateway [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.0.0/24 1 chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=pppoe-out1 |
||
|
18
Маратыч
11.06.13
✎
12:49
|
А куда пинги-то ходят? Только на сам микротик или внутрь его сети тоже бегают?
|
||
|
19
ssamm
11.06.13
✎
12:51
|
(18) и внутрь бегают, и изнутри тоже бегают
|
||
|
20
Jump
11.06.13
✎
12:53
|
А ipconfig компа из второй подсети с поднятым тоннелем можешь выложить?
|
||
|
21
Маратыч
11.06.13
✎
12:53
|
(19) А если строчку файрвола "chain=input action=accept protocol=icmp" поменять на "chain=input action=accept protocol=all"? Не пробовал?
|
||
|
22
ssamm
11.06.13
✎
12:58
|
(21) all - в списке нет, если явно пишу, выделяет красным, пробовал вообще не указывать протокол, не помогло
|
||
|
23
arsik
гуру
11.06.13
✎
12:58
|
(17) Добавь правило самым первым
chain=input action=accept in-interface="твой ipsec интерфейс" |
||
|
24
arsik
гуру
11.06.13
✎
13:03
|
а, не интерфейса для ipsec не создается вроде.
Тогда по другому ipsec отфильтруй. Хоть по IP |
||
|
25
ssamm
11.06.13
✎
13:08
|
(24) ну да, интерфейса нету
|
||
|
26
arsik
гуру
11.06.13
✎
13:08
|
Ну или для проверки сделай просто такое
chain=input action=accept |
||
|
27
ssamm
11.06.13
✎
13:10
|
(24) разве этого правила не достаточно? (стоит сейчас первым)
0 ;;; default configuration chain=input action=accept |
||
|
28
Маратыч
11.06.13
✎
13:10
|
(26) Да и chain=forward action=accept тоже можно.
|
||
|
29
zhig75
11.06.13
✎
13:12
|
(27) input разрешит пинг только на сам микротик, forward пустит внутрь сети.
|
||
|
30
arsik
гуру
11.06.13
✎
13:12
|
(27) Ну у тебя раньше такое стояло chain=input action=accept protocol=icmp
|
||
|
31
ssamm
11.06.13
✎
13:16
|
(28) нет, и это не помогло. Пинг с компа 192.168.1.200 Через шлюз 192.168.1.4(микротик) -VPN- 192.168.0.4 (Зухель) на сетевой принтер 192.168.0.115 Идет. А веб морда этого принтера в браузере не открывается
(30) я в (22) убрал протокол |
||
|
32
Маратыч
11.06.13
✎
13:18
|
(31) Стоп, так протоколы, кроме пинга, не ходят с микротика на зухель, а не наоборот?
|
||
|
33
Маратыч
11.06.13
✎
13:18
|
+(32) Т.е. с зухелевой сети 192.168.0.0/24 в 192.168.1.0/24 все прекрасно ходит по всем протоколам, а обратно не хочет?
|
||
|
34
ssamm
11.06.13
✎
13:19
|
(32) да, со стороны зухеля все прекрасно работает
|
||
|
35
ssamm
11.06.13
✎
13:19
|
(33) Именно
|
||
|
36
Маратыч
11.06.13
✎
13:20
|
(34) Блин, глянь первый пост, у тебя обратная ситуация описана, все и начали на микротик бочку катить :) Смотри теперь конфу зухеля, микротик не при делах, это зухель не пускает в свою сеть протоколы.
|
||
|
37
ssamm
11.06.13
✎
13:25
|
(36) блин, точно, перепутал в (0)
|
||
|
38
ssamm
11.06.13
✎
15:03
|
Вот нашел подробное описание настройки Зухеля: http://how-it.ru/public/root/474-zyxel_zywall___nastroika_ipsec_vpn_tunnelya.html
настроил все точно также, нифига, работает также, только в одну сторону ((( |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|