Jump to content
PASPARTU

Не работает IPsec если установленно запрещающее правило.

Recommended Posts

Всех приветствую, в общем проблема такая , если установить запрещающее правило на все и всех то Iphone не подключается к VPN вообще или подключается но без доступа к локалке и интернету.При этом 2 других клиента спокойно подключаются и видят локалку. Версия ОС 3.6.2 FireWall.thumb.PNG.39b4ab8402b4068cc964db2e9c6771b5.PNG

Edited by PASPARTU

Share this post


Link to post
Share on other sites
1 минуту назад, Le ecureuil сказал:

Что за другие клиенты? Какой конкретно протокол используется во всех трех?

172.16.203.67(KN-1310) и 172.16.212.115(Lite 3 rev.b) используют L2TP/IPSEC Конект с ними не разывается , доступ к их сетям сохраняется , а вот с Iphone SE подключится по L2TP/IPSEC ИЛИ "VPN-сервер IPsec (Virtual IP)" не возможно или подключение происходит но без доступа к интернету и локальной сети.

Share this post


Link to post
Share on other sites
17 минут назад, Le ecureuil сказал:

Попробуйте mtu уменьшить на сервере до 1280 скажем.

А как это поможет если когда правило не работает то подключение с Iphone проходит успешно?Mtu конечно попробую уменьшить.

Share this post


Link to post
Share on other sites
47 минут назад, Le ecureuil сказал:

Попробуйте mtu уменьшить на сервере до 1280 скажем.

(config)> interface L2TP ip mtu 1280
Network::Interface::Base error[6553609]: unable to find L2TP as "Network::Interface::Base".
(config)>

 

где менять для "VPN-сервер IPsec (Virtual IP)" не нашел.

Share this post


Link to post
Share on other sites
21 час назад, PASPARTU сказал:

Всех приветствую, в общем проблема такая , если установить запрещающее правило на все и всех то Iphone не подключается к VPN вообще или подключается но без доступа к локалке и интернету.При этом 2 других клиента спокойно подключаются и видят локалку. Версия ОС 3.6.2 

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135? 

Share this post


Link to post
Share on other sites
13 часа назад, PASPARTU сказал:

(config)> interface L2TP ip mtu 1280
Network::Interface::Base error[6553609]: unable to find L2TP as "Network::Interface::Base".
(config)>

 

где менять для "VPN-сервер IPsec (Virtual IP)" не нашел.

crypto map l2tp-server mtu  - Установить значение MTU, которое будет передано L2TP серверу

Для Virtual IP VPN-сервера по идее: crypto ipsec mtu

Share this post


Link to post
Share on other sites
2 часа назад, werldmgn сказал:

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135? 

IPhone не имеет статистического IP потому перед запрещаюем правилом , разрешен IPsec и L2TP.

Share this post


Link to post
Share on other sites
3 минуты назад, PASPARTU сказал:

IPhone не имеет статистического IP потому перед запрещаюем правилом , разрешен IPsec и L2TP.

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу? 

Share this post


Link to post
Share on other sites
8 минут назад, werldmgn сказал:

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу? 

Хмм.... проверил , реально подключается и имеет доступ в обе стороны только 172.16.212.115 - этим клиентом у нас общий коммутатор у провайдера, а вот 172.16.203.67 не подключается хотя лог говорит об обратном,758661585_.png.c6856403faf05931ecc9c717f3b669f6.png

Share this post


Link to post
Share on other sites

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

Share this post


Link to post
Share on other sites
2 минуты назад, Le ecureuil сказал:

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

А как проверить проходить или не проходит?

Share this post


Link to post
Share on other sites
55 минут назад, PASPARTU сказал:

Хмм.... проверил , реально подключается и имеет доступ в обе стороны только 172.16.212.115 - этим клиентом у нас общий коммутатор у провайдера, а вот 172.16.203.67 не подключается хотя лог говорит об обратном,

Я веду к тому, что видимо недостаточно только того, что вы разрешили, хотя на первый взгляд и не могу сказать чего не хватает. Вообще смысла в ваших правилах нет. Безопасности они не прибавили от слова совсем. В межсетевом экране по умолчанию созданы нужные разрешения для работы нужных впн-серверов, а в конце стоит дроп всего, что не разрешено. Своими правилами Вы по сути пытаетесь дублировать этот функционал.

Share this post


Link to post
Share on other sites
1 час назад, Le ecureuil сказал:

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

force encaps не помог.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...