VPN для SCALANCE S61x

VPN для SCALANCE S61x, нетривиальная задачка

Сергей Чепкин

Guest

Это нравится:0 Да/0 Нет

11.10.2009 15:05:41

Столкнулся с вопросом поднять VPN тунель на оборудовании Logmatic (такое древобрабатывающее оборудование) для организации контроля со стороны финских поставщиков. Фины пытались настроить сказали .............. не можем ....... и уехали. Теперь оборудование заглючило и у нас есть выбор поднять VPN или вызывать спецов из Финляндии. Ладно хватит лирики перехожу к техзаданию:
Имеем: Оборудвание Logmatic работающее с сетью через scalance S61x, соединение с Инетом ADSL с фиксированным IP
Пытаемся создать соединение по этой схеме
http://cache.automation.siemens.com/dnl/TYxNzEzAAAA_24953806_FAQ/VPN_Tunnel_mit_Microsoft_VPNClient_01_e.gif
рекомендованной компанией разработчиком оборудования
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&objId=24953807&load=treecontent&lang=en&siteid=cseus&aktprim=0&objaction=csview&extranet=standard&viewreg=WW
не получается
Всем у кого появятся идеи на тему ЧТО ЗДЕСЬ НЕ РАБОТАЕТ И КАК ЭТО ИСПРАВИТЬ пишите
будут вопросы отвечу

capricorn

Guest

Это нравится:0 Да/0 Нет

12.10.2009 21:09:56

я абсолютно не знаком со scalance S61x, но судя по всему(совместно с финами) вы его как-то настроили, но при этом xDSL модем должен пропускать через себя IPSec трафик, иначе все ваши ESP ( в случае GRE тоже самое) пакеты удаляются на NATе - если модем работает в режиме гейтвея. Эта функция называется IPSec pass through.

Bober__22

Guest

Это нравится:0 Да/0 Нет

14.10.2009 08:35:03

Основная проблемма в том, что на железе все подключено и индикаторы говорят, что все работает отлично, а вот софт... ОС упорно показывает что сетевой кабель не подключен. Я предполагаю что сеть блокируется в Scalance S612 который применяться как для защиты отдельных систем автоматизации, так и для защиты сегментов сети. Подробнее спецификация на русском Спецификация Scalance S612 S613.
Но я не могу найти программное обеспечение управляющее этим модулем или хотя бы способ его настроики стандартными инструментами ОС.

capricorn

Guest

Это нравится:0 Да/0 Нет

14.10.2009 19:28:42

Bober, ты конечно извини, можно еще долго размусоливать тему о том, что иконка в ОС показывает физическую связь с сетью и никакой Scalance S612 ее не может заблокировать, если только провод не выдернуть. Но вот мой вам совет: найдите специалиста, тем более,что вроде серьезными делами занимаетесь.

Bober__22

Guest

Это нравится:0 Да/0 Нет

14.10.2009 20:09:31

Цитата
capricorn пишет: Но вот мой вам совет: найдите специалиста, тем более,что вроде серьезными делами занимаетесь.

Capricorn, ты конечно извини, но где я тебе специалиста возьму в этой глуши. Сам не администратор, а прикладной программист бухгалтерских программ.
А на счет того, что IPSec трафик не проходит ты прав на все 100%. А надо чтобы проходил. Т.к. те самые специ финляндские руками разводят и говорят "Вот дайте нам доступ с IPSec и все нормально будет". А я пока не разобрался как это сделать.
За идею спасибо буду разбираться с этим. Глядишь и научюсь чему нибудь

capricorn

Guest

Это нравится:0 Да/0 Нет

14.10.2009 20:47:04

окей, для начала DSL модем - модель в студию! Второе, почему "...ОС упорно показывает что сетевой кабель не подключен"? - проверить соединение, провода...
P.S. физическую модель опиши, ну что куда подключено...

Изменено: capricorn - 14.10.2009 20:50:08

Bober__22

Guest

Это нравится:0 Да/0 Нет

14.10.2009 21:44:31

Цели и задачи были существенно скорректированы финами. Им нужен доступ с IPSec до железки scalance S612. Т.е. срезу за модемом

модем DSL-2500U, соединение по ADSL со статическим IP 90.188.11.44, шлюз провайдера 90.188.11.1 и DNS сервер 212.94.96.70 и 212.94.96.124
да физическая модель как на рисунке. И индикация соединения показывает, что все работает.

Изменено: Bober__22 - 14.10.2009 21:51:35

capricorn

Guest

Это нравится:0 Да/0 Нет

15.10.2009 00:19:23

на d-linkе делаешь порт форвардинг(port forwarding) 500 udp port для IKE протокола(там в списке может уже ipsec быть), смотри стр.31 в мануале здесь на IP VPN сервера в твоем случае - это 192.168.2.2. И как говорится: safe and reboot

удачи!

Bober__22 Guest	#9 Это нравится:0 Да/0 Нет 15.10.2009 05:23:12 Спасибо Сapricorn. Попробую о результатах сообщу.

Bober__22

Guest

#10

Это нравится:0 Да/0 Нет

03.11.2009 16:18:18

Вобщем я покапался и сделал так http://www.dlink.ru/ru/faq/160/139.html

Затем открыл порты 500 UDP 4500 UDP 443TCP в настройках фаервола.
При тестировании портов с компьютера программой PFPortChecker все порты открыты, а при тестировании с сайта http://ip.dmob.ru/?page=checkport&action=go порты закрыты. Да и фины хост 90.188.11.43 видят но порты закрыты.
Подскажи пожалуста что не так.

capricorn

Guest

#11

Это нравится:0 Да/0 Нет

03.11.2009 21:16:11

Этого достаточно или еще подсказать:

Код

Scanning 90.188.11-43.xdsl.ab.ru (90.188.11.43) [1000 ports]
Discovered open port 443/tcp on 90.188.11.43
SYN Stealth Scan Timing: About 36.70% done; ETC: 10:10 (0:00:53 remaining)
Completed SYN Stealth Scan at 10:09, 71.13s elapsed (1000 total ports)

Bober__22

Guest

#12

Это нравится:0 Да/0 Нет

03.11.2009 22:05:11

Ок подсказывай. Т.к. я вижу что любимый многими nmap выдал открытый порт 443 на 90.188.11.43 Но где 500 и 4500 UDP? И как обьяснить финам что они могут подключатся когда их "админ" говорит что пинг проходит но IP защищен. При этом он два дня пинговал 192.168.1.1

скан с сайта http://ip.dmob.ru/?page=checkport&action=go

Информация по открытости порта 443 домена 90.188.11-43.xdsl.ab.ru:

Порт 443 закрыт

Изменено: Bober__22 - 03.11.2009 23:12:18

capricorn

Guest

#13

Это нравится:0 Да/0 Нет

03.11.2009 23:31:01

на цитату:

Цитата
При тестировании портов с компьютера программой PFPortChecker все порты открыты

ответ из твоего линка:

Цитата

Внимание! Правило Virtual Server не будет работать в том случае, если запрос на IP адрес WAN интерфейса устройства пришел из локальной сети, так как устройство не поддерживает функцию NAT Loopback. Тестирование созданных правил Virtual Server должно осуществляться только из Интернет.

а вот тебе другой скан nmap

Код

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-03 11:58 Pacific Standard Time
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 5.43 seconds

Разберись с портами и у тебя теперь firewall дропает(извиняюсь за жаргон) пакеты, потому что virtual server функция применяет правило файрволла если пакеты направлены к компьютеру позади роутера. Короче, кури мануал внимательно

VicTor Smirnoff

Guest

#14

Это нравится:0 Да/0 Нет

04.11.2009 10:32:09

Построить VPN по данной схеме не удастся никогда

Если на финской стороне внутренняя подсетка 192.168.2.0 маска 255.255.255.0, то на вашей стороне может быть какая угодно подсетка, только не 192.168.2.0 маска 255.255.255.0.

Сделайте на своей стороне внутреннюю подсетку 192.168.1.0 маска 255.255.255.0. Ведь суомалайнен не даром пинговал именно 192.168.1.1

видно у него такой подсетки нет.

Странно, что добрые люди не попросили все порты открыть наружу :)_

capricorn Guest	#15 Это нравится:0 Да/0 Нет 04.11.2009 22:59:24 VicTor Smirnoff, мда... что-то я даже и не глянул , в этом ты прав. Хорошая зацепка!

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?