Трассировка маршрута из подсети 10.20.0.0 к компу 192.168.0.200 дала следующую картинку:
C:> tracert 192.168.0.200
1 1 ms 1 ms 1 ms 10.20.0.1 (ближний роутер, локальный IP)
2 36 ms 36 ms 36 ms 109.xxx.xxx.18 (дальний роутер, внешний IP)
3 * * * Превышен интервал ожидания для запроса.
Т.е. начинает идти по правильному маршруту, доходит до удаленного роутера и теряется...
IPIP, IPSec между двумя сетями через инет ("для чайников")
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
Разобрался со всем.
Всё заработало.
Полностью переписал стартовый пост, сделал из него мануал для "чайников".
Постарался максимально подробно простым языком описать весь процесс настройки.
Всем удачи!
Всё заработало.
Полностью переписал стартовый пост, сделал из него мануал для "чайников".
Постарался максимально подробно простым языком описать весь процесс настройки.
Всем удачи!
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Где мануал? Ссылочку в студию, если не жалко...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
Стартовый пост и есть мануал.
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ок, скопировал тему в Готовые конфгурации. Ща там срежу всё обсуждение, получится именно мануал... Спасибо за проделанную работу.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 7
- Зарегистрирован: 17 сен 2014, 13:35
Здравствуйте!
Помогите решить проблему:
1. Суть проблемы:
Есть 2 роутера, настройки ниже. У обоих с внешней стороны ip-шники из "серых" сетей, через nat провайдера выходят в инет. Роутеры видят друг друга по внешним интерфейсам eth1. За каждым из роутеров - nat, сетка 192.168.0/24 за первым, 192.168.20.0/24 за вторым. Поднимаю IPSec согласно инструкции. В результате - вначале получил странную ситуацию, что канал устанавливается как бы односторонний - даю ping с ip за первым роутером на ip за вторым роутером - результата нет. Наоборот (с ip за вторым на Ip за первым) - есть, после этого появляется и пинг в обратную сторону. Помимо этого могу (как в одну сторону так и в другую) пропинговать только часть хостов, хотя изнутри они пингуются. Как бы сделать так, чтобы можно было связаться со всеми адресами как в одну так и в другую сторону?
2. Предпринял изменение алгоритмов шифрования (сделал как в этом мануале, вначале было по-другому) - первая часть проблемы вроде исчезла, вторая осталась. По-прежнему вижу только часть компов как с одной так и с другой стороны.
3. Конфиги:
4. Да,ознакомлен, не нашел.
ред. Dragon_Knight
Помогите решить проблему:
1. Суть проблемы:
Есть 2 роутера, настройки ниже. У обоих с внешней стороны ip-шники из "серых" сетей, через nat провайдера выходят в инет. Роутеры видят друг друга по внешним интерфейсам eth1. За каждым из роутеров - nat, сетка 192.168.0/24 за первым, 192.168.20.0/24 за вторым. Поднимаю IPSec согласно инструкции. В результате - вначале получил странную ситуацию, что канал устанавливается как бы односторонний - даю ping с ip за первым роутером на ip за вторым роутером - результата нет. Наоборот (с ip за вторым на Ip за первым) - есть, после этого появляется и пинг в обратную сторону. Помимо этого могу (как в одну сторону так и в другую) пропинговать только часть хостов, хотя изнутри они пингуются. Как бы сделать так, чтобы можно было связаться со всеми адресами как в одну так и в другую сторону?
2. Предпринял изменение алгоритмов шифрования (сделал как в этом мануале, вначале было по-другому) - первая часть проблемы вроде исчезла, вторая осталась. По-прежнему вижу только часть компов как с одной так и с другой стороны.
3. Конфиги:
4. Да,ознакомлен, не нашел.
ред. Dragon_Knight
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
Если часть пингуется, часть нет, то это больше похоже на политику безопасности ОСей на каждом компе. Особо чрезмерной безопасностью грешат 7-ки и 8-ки. И все это именно из-за удаленности. Серость IP тут ни при чем.
Ну а по поводу одностороннего поднятия IPSec, есть такой момент.
Могу лишь предположить, что он связан с тем, что только один роутик выступает инициатором (вкладка /ip ipsec peer, галочка Passive).
В качестве эксперимента можно убрать галочки у обоих роутеров.
Ну а по поводу одностороннего поднятия IPSec, есть такой момент.
Могу лишь предположить, что он связан с тем, что только один роутик выступает инициатором (вкладка /ip ipsec peer, галочка Passive).
В качестве эксперимента можно убрать галочки у обоих роутеров.
-
- Сообщения: 7
- Зарегистрирован: 17 сен 2014, 13:35
Относительно политики безопасности на компах пользователей - проверю.
Дело в том, что с самого роутера они пингуются, не пингуются из удаленной сети. Сомневаюсь... хотя может быть.
Попробую настроить IPIP туннель вместо ipsec - если и там тоже самое повторится, значит вероятно политика безопасности, если будет работать - значит что-то с ipsec.
Про галочки - дело в том, что на моей версии прошивки этих галочек нет. Может быть все дело в том, что надо ее обновить - и автоматически исправится первая проблема?
Дело в том, что с самого роутера они пингуются, не пингуются из удаленной сети. Сомневаюсь... хотя может быть.
Попробую настроить IPIP туннель вместо ipsec - если и там тоже самое повторится, значит вероятно политика безопасности, если будет работать - значит что-то с ipsec.
Про галочки - дело в том, что на моей версии прошивки этих галочек нет. Может быть все дело в том, что надо ее обновить - и автоматически исправится первая проблема?
-
- Сообщения: 7
- Зарегистрирован: 17 сен 2014, 13:35
Все, разобрался. Действительно - политика безопасности на локальных машинах.
- pubuser
- Сообщения: 62
- Зарегистрирован: 14 мар 2014, 18:14
В точности сделал все как написано в первом посту. Объединил 2 подсети находящиеся за роутерами - все работает! Но в первом посту небольшое есть упущение - чтобы с компа из любой локалки пинговался любой другой комп в другой локалке, нужно руками прописать к нужной подсети роут (упомянутого "верхнего" правила NAT не хватает для этого, с ним хосты локалок пингуются только из роутеров) и гейтвеем назначить либо мастер порт свитча, либо бридж куда соединены LAN порты роутера.
Есть вопросик - соединил по городской локалке два роутера таким способом, только у одного из них есть выход в инет по L2TP. У второго нету. Каким образом можно получить второму интернет от первого? Пробовал на втором прописать роут 0.0.0.0/0 и шлюзом указать адрес роутера с интернетом - не работает( Кто так настраивал, подскажите плз решение?
Есть вопросик - соединил по городской локалке два роутера таким способом, только у одного из них есть выход в инет по L2TP. У второго нету. Каким образом можно получить второму интернет от первого? Пробовал на втором прописать роут 0.0.0.0/0 и шлюзом указать адрес роутера с интернетом - не работает( Кто так настраивал, подскажите плз решение?