Hellgear Posted February 13, 2015 Share Posted February 13, 2015 Возникла вот такая задача, нужно подключить контроллер (3шт) через OnCell 5104(3шт) к Windows Server 2003(или любой другой серверной Windows) в Windows настроили VPN, NAT,политику безопасности Sistem log модема пишет о прохождении фазы 1 и фазы 2, доступ к контроллеру отсутствует, что посоветуете? OCR5104 (4).txt Link to comment
Незнайка Posted February 13, 2015 Share Posted February 13, 2015 Ага, и Вам день добрый! А с 217.66.х.х пингуется 192.168.127.254? и ещё глупый вопрос - а кто у контроллера шлюз? Link to comment
Hellgear Posted February 16, 2015 Author Share Posted February 16, 2015 Нет, не пингуется, шлюз 192.168.127.254 Link to comment
Незнайка Posted February 16, 2015 Share Posted February 16, 2015 Так. У нас тип VPN - IPSec, режим - Site-to-Site, верно? Link to comment
Незнайка Posted February 16, 2015 Share Posted February 16, 2015 Тогда на стороне 5104 мы включаем NAT, NAT mode - N -1 (в терминологии MOXA), NAT-T как я понимаю не включаем, в разделе IPSEC указываем Site-to-Site, удалённую сеть (со стороны Win2003 и прочая, а так же, как я понимаю, в разделе Accessible IP List снимаем галочку Enable the Accessible IP List... что то там. Похожие настройки? Link to comment
Hellgear Posted February 16, 2015 Author Share Posted February 16, 2015 на моксе NAT включен, NAT-T отключен, в разделе IPSEC указываем Site-to-Site, удалённую сеть (со стороны Win2003 и прочая, а так же, как я понимаю, в разделе Accessible IP List снимаем галочку Enable the Accessible IP List... где это? Link to comment
Hellgear Posted February 16, 2015 Author Share Posted February 16, 2015 не возможно прописать маршрутизацию к 192,168,127,0 через ip моксы, пишет шлюз не находится в данной подсети... Link to comment
Незнайка Posted February 16, 2015 Share Posted February 16, 2015 Accessible IP List - да, в 5104 такого нет, не туда посмотрел -) Так а зачем вы маршруты пишите, они же в настройках IPSEC задаются? Link to comment
Hellgear Posted February 16, 2015 Author Share Posted February 16, 2015 я в виндоусе не могу прописать, соответственно достучаться до сети за моксой Link to comment
Незнайка Posted February 16, 2015 Share Posted February 16, 2015 Делаете как то так http://support.microsoft.com/kb/816514/ru#256 ? Link to comment
Незнайка Posted February 16, 2015 Share Posted February 16, 2015 тогда подставьте, пожалуйста, в приведённое описания (по ссылке) свои значения - что то я понять не могу, какой шлюз там где не лежит? Link to comment
Hellgear Posted February 17, 2015 Author Share Posted February 17, 2015 я к тому,что статическая маршрутизация не отражается в route print, в ручную прописать тоже не получается, соответственно, при попытке пропинговать сеть за модемом запрос идёт широковещательный в интернет, а не по маршруту в подсеть Link to comment
Hellgear Posted February 17, 2015 Author Share Posted February 17, 2015 тоннель вроде создаётся, а вот так проходят пинги 192.168.127.254 Link to comment
Hellgear Posted February 17, 2015 Author Share Posted February 17, 2015 вот статические маршруты и их отсутствие в таблице маршрутизации Link to comment
Незнайка Posted February 17, 2015 Share Posted February 17, 2015 Смотрите: делаем (как я понимаю) трассировку с 217.66.х.х до 37.28.х.х и там, по дороге у нас начинают появлятся какие-то адреса из 10.х.х.х. Это как? Значит, там всё таки работает NAT? Тогда обязательно включаем поддержку NAT-T. Потом. Для настройки фильтров в службе маршрутизации и удаленного доступа, загрузки со службой маршрутизации и удаленного доступа консоли MMC и выполните следующие действия: Разверните дерево сервера в группе маршрутизации и удаленного доступа, разверните поддерево IP-маршрутизации и выберите Общие. Щелкните правой кнопкой мыши и выберите команду WIN2003extIP. Нажмите кнопку Фильтры исходящего трафика и нажмите кнопку Создать. Выберите флажки Исходная сеть и Сеть назначения . То есть мы не пишем маршруты статикой, а загоняем наш трафик в туннель через фильтры. Link to comment
Hellgear Posted February 17, 2015 Author Share Posted February 17, 2015 Щелкните правой кнопкой мыши и выберите команду WIN2003extIP. Нажмите кнопку Фильтры исходящего трафика и нажмите кнопку Создать. Выберите флажки Исходная сеть и Сеть назначения . тут нет такого Link to comment
Незнайка Posted February 17, 2015 Share Posted February 17, 2015 Ну как нету-то - вот же оно! Это ж Microsoft, в нём нельзя всё понимать буквально. Как я понимаю, на нём надо сделать Right-click и там создавать фильтры. Кстати, видимо не у всех получается http://sysadmins.ru/post8398290.html Link to comment
Hellgear Posted February 17, 2015 Author Share Posted February 17, 2015 при включении NAT-T не работает тоннель, фильтры сделал, не помогло Link to comment
Hellgear Posted February 18, 2015 Author Share Posted February 18, 2015 Привет, у меня получилось запустить шифрованный трафик, только в одну сторону, не могу запустить во вторую, не поможешь? Link to comment
Незнайка Posted February 18, 2015 Share Posted February 18, 2015 а в какую получилось то? Link to comment
Hellgear Posted February 18, 2015 Author Share Posted February 18, 2015 теперь в обе получилось, но как то не правильно, ICMP трафик идёт зашифрованный, а TCP не зашифрованный и не по туннелю Link to comment
Hellgear Posted February 18, 2015 Author Share Posted February 18, 2015 вот так это выглядит, вместо 37.28.175..... 192.168.127.10 Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now