none
Проблема с IPSEC туннелем RRS feed

  • Вопрос

  • Есть две сети. Выглядит примерно так:

    (LAN1)192.168.220.0/24--->(Gate1)93.189.*.*--->INTERNET<---(Gate2)195.218.*.*<---(LAN2)192.168.0.0/24

    Gate1 - Аппаратный маршрутизатор ZyWall 1050

    Gate2 - Windows 2k3 server R2 SP2 Ent

    Необходимо соединить LAN1 и LAN2 при помощи IPSEC туннеля между GATE1 и GATE2

    Сам туннель настроен и работает (судя по логам Win и странице состояния ZyWall), но по неизвестной мне причине машины из LAN1 и LAN2 не видят друг друга (нет пинга).

    На Win 2k3 настроены "Маршрутизация и удаленный доступ" для совместного доступа в интернет (NAT) пользователей LAN2 + MySQL + Web server

    У кого какие мысли есть на этот счёт?

     

    7 сентября 2010 г. 0:05

Ответы

Все ответы

  • Если требуется настроить именно работу команды Ping (Вы же не указали какая именно задача стоит от этого соединения), то для начала я бы сделал следующее:

    1. Проверил на Gate1 разрешены ли для работы протоколы ICMP

    2. Проверил написания правила переадресации запросов на Gate1 (если из 192.168.220.0 обращаются на 192.168.0.0 то перекидывать на 195.218.*.*)

    3. Проверил на Gate2 разрешены ли для работы протоколы ICMP

    4. Проверил написания правила переадресации запросов на Gate2 (если из 192.168.0.0 обращаются на 192.168.220.0 то перекидывать на 93.189.*.*)

    5. На Gate1 должны быть настроено принимать входящие пакеты из 93.189.*.* и перенаправлять их в локальную сеть 192.168.220.0

    6. На Gate2 должны быть настроено принимать входящие пакеты из 195.218.*.* и перенаправлять их в локальную сеть 192.168.0.0

    7 сентября 2010 г. 4:22
  • На gate1 и gate2 прописаны маршруты к сетям 192.168.0.0/24 и 192.168.220.0/24 соответственно?
    7 сентября 2010 г. 6:26
  • Да, конечно. Но на Gate2 это сделано статическим маршрутом, который почему-то не отображается в таблице маршрутизации.

    команда route add 192.168.220.0 mask 255.255.255.0 93.189.*.*

    возвращает ошибку: Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не ле
    жит в той же подсети,
    что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.

    7 сентября 2010 г. 12:24
  • 6. На Gate2 должны быть настроено принимать входящие пакеты из 195.218.*.* и перенаправлять их в локальную сеть 192.168.0.0

    Не совсем понимаю как это нужно сделать!
    7 сентября 2010 г. 12:28
  • Был не прав насчет правил NAT.

    Источник (http://ru.wikipedia.org/wiki/IPsec) утверждает что: IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT traversal).

    В связи с этим подозреваю (но не утверждаю), что раз Gate2 ввиде win2003, то не сможет перенаправлять сам. Тут нужно такое же оборудование как и в Gate1, или искать как реализовать NAT-T в win2003.

    8 сентября 2010 г. 8:49
  • NAT-T реализован в Forefront UAG, но увы, он ставиться только на 2008 R2.
    • Помечено в качестве ответа mindw0rk 9 сентября 2010 г. 9:54
    8 сентября 2010 г. 9:14
  • Да, конечно. Но на Gate2 это сделано статическим маршрутом, который почему-то не отображается в таблице маршрутизации.

    Поэтому и не работает. Маршрут не отображается, потому что в нем указан адрес несуществующего шлюза.

    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    8 сентября 2010 г. 9:58
    Модератор
  • Пришлось делать при помощи L2TP соединения. Денег на покупку Win2k8  руководство не дало :(. Через L2TP всё работает как часы!
    9 сентября 2010 г. 9:55