means_nothing

Пока возможности нет, планово когда поедем туда, зашьем новые прошивки, а дальше глядеть будем. Но вообще ситуация, конечно, забавная))

По Http, https, telnet, ssh и serial console не отвечает(т.е. по всем возможным способам))), на кнопку ресет не реагирует. SNMP отключен, так что ничего по этому поводу не могу сказать)

не используется)

Т.е ответа, как ESP пропустить через firewall, пока что нет? Насчет конфигурирования я тоже уже не знаю что сказать)))

Так и делал. При этом IKE работал по UDP 500(ну здесь то firewall вообще бессилен), а вот ESP дропался. Повторю как-нибудь на досуге. Еще раз о многострадальных маршрутизаторах, у которых отказывало конфигурирование: в конце того года перезагрузили их по питанию и я отключил Broadcast Forward, так вот это не помогло, вчера обнаружил, что опять отвалилось конфигурирование)))))

а что насчет вот этого

А вообще принудительно же никак не включить NAT-T, и он включается только при обнаружении натирающего устройства или все же нет? Еще такой момент, пользовался другими маршрутизаторами и там, если в Firewall все дропаешь кроме разрешенных соединений, то ESP не дропается по умолчанию, если включен ipsec, а в EDR-810 дропается и чет в профайлах не вижу, как разрешить. Как быть, чтоб внешние подключения запретить кроме ipsec? Или есть только вариант добавить N-1 NAT на WAN интерфейс? ipsec.pcapng MOXA_CFG_2.ini MOXA_CFG_1.ini

ну стенд нет смысла держать уже, ага. может действительно в прошивке дело. недели 2 назад ресетнули по питанию те маршрутизаторы и я отключил broadcast forwarding, удаленно пробовать перепрошивать не стал, пока так оставил, понаблюдаю. пока работают, гады)

ок, завтра скину.

нет

Настраиваю IPsec, врубаю NAT-T на обоих маршрутизаторах(прошивка 5.0) во вкладке Global, а пакеты как шли в ESP, так и идут, как так?

может реально в прошивке 5 эта проблема не выявляется. Оборудование пришло, будет время и будет не лень, все-таки соберу с 4.2 стенд и все опробую. Насчет таблицы печально, конечно)))

Такой вопрос, а че, нет никакой возможности на маршрутизаторе посмотреть ARP с соответствием IP MAC

Да просто уже через неделю мне в руки попадут новенькие EDR-810, сам уже и погоняю их). А те, что на объекте стоят, по-прежнему пашут бесперебойно, за исключением Broadcast Forward и конфигурирования.

Ну что, не было сбоев в работе?

Пока все исправно работает??? Если вдруг все-таки виноват broadcast forward, то сделаю по-другому. Если на схему в первом посте смотреть, то для того чтобы комп с двумя сетевыми картами(c 802.1q они не дружат) 10.0.101.1 и 10.0.102.1 получил broadcast c 10.0.1.1 по двум каналам, то нужно просто на обоих маршрутизаторах на portG2 добавить по 10vlan в Trunk, а на обоих коммутаторах port2 настроить на hybrid и передавать vlan10 нетегированным)) Не знаю даже, почему мне сразу такая идея в голову не пришла.

ага, не заметил строкой ниже WAN2 disable) Сейчас все вижу по трафику, единственное, поплотнее бы его, особенно UDP, раз есть подозрение на загрузку маршрутизатора модулем broadcast forward. Кстати дальше пока ничего не отрубается у наших маршрутизаторов. Конфигурирование и broadcast forward не работает, все остальное без сбоев. Позаказали еще таких же маршрутизаторов на другие объекты еще до этого неприятного случая, надеюсь, удастся найти работоспособную прошивку, удовлетворяющую нас.

посмотрел по-быстрому. не увидел tcp 10.0.0.2 на 10.0.101.11(увидел только уже за NATом 10.0.1.58 на 10.0.1.33), не увидел tcp 10.0.0.2 на 172.28.198.77(есть только прямое с 10.0.0.2 на 10.0.1.1) по настройкам правого: ip route static WAN2 10.0.1.32 255.255.255.224 172.28.198.77 1 не нужно ну и wan я вообще не пользовался, но, думаю, это не принципиально

Так что же вы делаете? Этот модуль для TTL уровней!!!!! А в документации указано, как подключить этот модуль через микросхемы приемопередатчиков интерфейса rs485 и rs232. Подключать этот модуль напрямую к данным интерфейсам нельзя.

10.0.0.2 на схеме есть, самый правый элемент, это основной сервер. 10.0.0.1 это резервный сервер, его на схеме не указывал(можно убрать правила). на 10.0.0.2 можно поставить шлюз по умолчанию 10.0.0.100 на 10.0.1.1 шлюз 10.0.1.29 на 10.0.101.1 и 10.0.1.33 шлюзы не нужны. NAT 10.0.0.1 172.28.198.77 - для организации 2-х одновременных TCP соединений(между 10.0.0.2 и 10.0.1.1) по двум независимым каналам + это требование одного из TCP-клиентов, не указанного на схемах. остальные NAT для TCP соединений 10.0.0.2 - 10.0.1.33 и 10.0.101.1 - 10.0.1.33 опять же по 2-м независимым каналам. По идее для 10.0.1.1 нужно было бы аналогичный набор NAT делать, как для 10.0.1.33, но из-за особенности работы 10.0.1.1 обошлось только одним NAT и там даже шлюз не указан в реальной схеме. Глядя на схему в первом сообщении должно быть более ясно, зачем все это сделано. А в тестовой схеме, кончено, можно заставить все работать без NAT, но с NAT это типа приближение к реальности по нагрузке на маршрутизатор

Трафик с EDR снять не могу, у них же конфигурирование недоступно. Вот снял ориентировочные pcap для TCP и UDP(трафик в реале более плотный чем в этом дампе, см. выше). По схеме: UDP летит с 10.0.1.1:980; TCP сервер 10.0.1.33, к нему подключаются 2 клиента(10.0.101.1 и 10.0.0.2), ведется обмен в протоколе iec 60870-5-104; TCP сервер 10.0.1.1, к нему подключается 1 клиент(10.0.0.2), ведется обмен в протоколе iec 60870-5-104. Если надо что-то более подробное, то соберу стенд приближенный к реальности по трафику. TCP.pcapng UDP.pcapng

вроде 200 написал))))

Ну можно попробовать по такой схеме. По всем TCP соединениям у нас в среднем по 10 пакетов(~100байт каждый) в секунду. Широковещательный UDP где-то по 20 пакетов (~200байт каждый) в секунду.

Второй маршрутизатор по такой же схеме отказал. А есть ли у вас возможность протестировать данный баг? А то у нас они стоят только на одном удаленном рабочем объекте, там не до экспериментов.