Jeg prøver at lave en IPSec tunnel mellem to SMC Barricade Plus routere (SMC7004FW). Du er selvfølgelig velkommen til at give forslag selvom du ikke kender den pågældende router.
Netværk 0 har LAN IP-adresser på formen 192.168.0.x Netværk 1 har LAN IP-adresser på formen 192.168.1.x
Begge routeres status viser IPSec: enabled
Begge router har en tunnel stående med tilsyneladende rigtige oplysninger under Enabled Tunnel Status - nu mangler jeg bare Status: connected!
IPSec opsætning på router på netværk 0 Protocol mode: Tunnel mode Local secure group: 192.168.0.0 Remote secure gateway: netværk 1's WAN IP Remote secure group: 192.168.1.0 Alle netværksmasker: 255.255.255.0 Authentivation og encryption er sat til none (for at fjerne en mulig fejlkilde)
Netværk 1's router er tilsvarende sat op.
Jeg har prøvet forskellige indstillinger for Key Management som giver forskellige fejl:
Med IKE key management dukker en connect knap op ved tunnellen under Enabled Tunnel Status. Når jeg trykker på den skifter Status til "in negotiating" (typisk asiatisk oversættelse?) - ved refresh efter et minuts tid er Status tilbage til "not connected". Der dukker intet op i security loggen på nogen af routerne.
Med manual key management er Status "---" og der er ingen connect knap.
Jeg kan få routerne til at køre en PPTP klient/server VPN tunnel, så man skulle tro det på en eller anden måde var noget IPSec-specifikt.
Routernes WAN port er direkte forbundet til ADSL modemet, ellers er der intet mellem router og internet.
Jeg checker lige med ham i den anden ende, hvis han stadig har sin gamle router (inkl. firewall) siddende bliver han ikke populær... (men jeg tror det nu ikke, så ville PPTP tunnellerne vel ikke virke?)
Det er faktisk muligt at få PPTP tunneller til at virke via en NAT'et forbindelse, men det er multi-mega-svært (som regel umuligt) at få IPSec til at virke på NET'ede forbindelser
Den router der skaber IPSec tunnellen må gerne (skal) have NAT, men der må ikke være andre enheder der NAT'er selve tunnellen, idet endpoint adressen indgår som en del af det krypterede payload.
Den skal jeg lige have en gang til Det ser sådan ud:
Router 0 <-> Internet <-> Router 1
Routerne giver virker som internetadgang (som de ganske givet NAT'er), firewall, DHCP server, etc., og der skulle så også gerne være en IPSec VPN tunnel mellem dem også. Som jeg forstår det bliver tunnellen IKKE nattet. Men det med "endpoint adressen indgår som en del af det krypterede payload" er jeg ikke helt sikker på jeg forstår - er det ikke først når jeg skal til at sende data gennem tunnellen at det er aktuelt, på nuværende tidspunkt er der jo slet ikke forbindelse?
Jeg har lige bladret lidt i SMC's dokumentation. De nævner at SPI der skal sættes på tunnel konfigurationen, og som skal være ens i begge ender af tunnellen
SPI var ens. SMC har pt kun dokumententation for en gammel version af firmware, jeg har opdateret den og nogle af tingene ser lidt anderledes ud nu.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
