Jump to content

Не работает IPsec если установленно запрещающее правило.


Recommended Posts

Всех приветствую, в общем проблема такая , если установить запрещающее правило на все и всех то Iphone не подключается к VPN вообще или подключается но без доступа к локалке и интернету.При этом 2 других клиента спокойно подключаются и видят локалку. Версия ОС 3.6.2 FireWall.thumb.PNG.39b4ab8402b4068cc964db2e9c6771b5.PNG

Edited by PASPARTU
Link to comment
Share on other sites

1 минуту назад, Le ecureuil сказал:

Что за другие клиенты? Какой конкретно протокол используется во всех трех?

172.16.203.67(KN-1310) и 172.16.212.115(Lite 3 rev.b) используют L2TP/IPSEC Конект с ними не разывается , доступ к их сетям сохраняется , а вот с Iphone SE подключится по L2TP/IPSEC ИЛИ "VPN-сервер IPsec (Virtual IP)" не возможно или подключение происходит но без доступа к интернету и локальной сети.

Link to comment
Share on other sites

17 минут назад, Le ecureuil сказал:

Попробуйте mtu уменьшить на сервере до 1280 скажем.

А как это поможет если когда правило не работает то подключение с Iphone проходит успешно?Mtu конечно попробую уменьшить.

Link to comment
Share on other sites

47 минут назад, Le ecureuil сказал:

Попробуйте mtu уменьшить на сервере до 1280 скажем.

(config)> interface L2TP ip mtu 1280
Network::Interface::Base error[6553609]: unable to find L2TP as "Network::Interface::Base".
(config)>

 

где менять для "VPN-сервер IPsec (Virtual IP)" не нашел.

Link to comment
Share on other sites

21 час назад, PASPARTU сказал:

Всех приветствую, в общем проблема такая , если установить запрещающее правило на все и всех то Iphone не подключается к VPN вообще или подключается но без доступа к локалке и интернету.При этом 2 других клиента спокойно подключаются и видят локалку. Версия ОС 3.6.2 

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135? 

Link to comment
Share on other sites

13 часа назад, PASPARTU сказал:

(config)> interface L2TP ip mtu 1280
Network::Interface::Base error[6553609]: unable to find L2TP as "Network::Interface::Base".
(config)>

 

где менять для "VPN-сервер IPsec (Virtual IP)" не нашел.

crypto map l2tp-server mtu  - Установить значение MTU, которое будет передано L2TP серверу

Для Virtual IP VPN-сервера по идее: crypto ipsec mtu

Link to comment
Share on other sites

2 часа назад, werldmgn сказал:

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135? 

IPhone не имеет статистического IP потому перед запрещаюем правилом , разрешен IPsec и L2TP.

Link to comment
Share on other sites

3 минуты назад, PASPARTU сказал:

IPhone не имеет статистического IP потому перед запрещаюем правилом , разрешен IPsec и L2TP.

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу? 

Link to comment
Share on other sites

8 минут назад, werldmgn сказал:

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу? 

Хмм.... проверил , реально подключается и имеет доступ в обе стороны только 172.16.212.115 - этим клиентом у нас общий коммутатор у провайдера, а вот 172.16.203.67 не подключается хотя лог говорит об обратном,758661585_.png.c6856403faf05931ecc9c717f3b669f6.png

Link to comment
Share on other sites

2 минуты назад, Le ecureuil сказал:

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

А как проверить проходить или не проходит?

Link to comment
Share on other sites

55 минут назад, PASPARTU сказал:

Хмм.... проверил , реально подключается и имеет доступ в обе стороны только 172.16.212.115 - этим клиентом у нас общий коммутатор у провайдера, а вот 172.16.203.67 не подключается хотя лог говорит об обратном,

Я веду к тому, что видимо недостаточно только того, что вы разрешили, хотя на первый взгляд и не могу сказать чего не хватает. Вообще смысла в ваших правилах нет. Безопасности они не прибавили от слова совсем. В межсетевом экране по умолчанию созданы нужные разрешения для работы нужных впн-серверов, а в конце стоит дроп всего, что не разрешено. Своими правилами Вы по сути пытаетесь дублировать этот функционал.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

force encaps не помог.

Link to comment
Share on other sites

  • 2 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...