Проблемы с EDR-810

[means_nothing]

Такой вопрос, а че, нет никакой возможности на маршрутизаторе посмотреть ARP с соответствием IP MAC

[Незнайка]

Сами удивляемся! . Uptime 27 дней у нас, пока работает.

[means_nothing]

может реально в прошивке 5 эта проблема не выявляется. Оборудование пришло, будет время и  будет не лень, все-таки соберу с 4.2 стенд и все опробую.
Насчет таблицы печально, конечно)))

[means_nothing]

Настраиваю IPsec, врубаю NAT-T на обоих маршрутизаторах(прошивка 5.0) во вкладке Global, а пакеты как шли в ESP, так и идут, как так?

[Незнайка]

И в UDP не оборачивается?

[means_nothing]

нет

[Незнайка]

По предыдущему вопросу:

Выключаем?

[Незнайка]

По NAT-T: wireshark'ом смотрите? Конфиг и pcap дадите?

[means_nothing]

ок, завтра скину.

[Незнайка]

Стенд выключаем?

[means_nothing]

ну стенд нет смысла держать уже, ага. может действительно в прошивке дело. недели 2 назад ресетнули по питанию те маршрутизаторы и я отключил broadcast forwarding, удаленно пробовать перепрошивать не стал, пока так оставил, понаблюдаю. пока работают, гады)

[Незнайка]

Ну ок

[means_nothing]

А вообще принудительно же никак не включить NAT-T, и он включается только при обнаружении натирающего устройства или все же нет?

Еще такой момент, пользовался другими маршрутизаторами и там, если в Firewall все дропаешь кроме разрешенных соединений, то ESP не дропается по умолчанию, если включен ipsec, а в EDR-810 дропается и чет в профайлах не вижу, как разрешить. Как  быть, чтоб внешние подключения запретить кроме ipsec? Или есть только вариант добавить N-1 NAT на WAN интерфейс?

ipsec.pcapng

MOXA_CFG_2.ini

MOXA_CFG_1.ini

[Незнайка]

Вопрос хороший. Да, действительно, в IKE v1 нужно было включать NAT-T, иначе отбрасывался UDP трафик. В IKE v2 если устройства видят NAT, они автоматом начинают слать auth request'сы через UDP 4500. Честно говоря не знаю, какая у нас версия IKE, но судя по всему, и там и там NAT должен был присутствовать, иначе NAT-T не включался.

[means_nothing]

а что насчет вот этого

7 часов назад, means_nothing сказал:

Еще такой момент, пользовался другими маршрутизаторами и там, если в Firewall все дропаешь кроме разрешенных соединений, то ESP не дропается по умолчанию, если включен ipsec, а в EDR-810 дропается и чет в профайлах не вижу, как разрешить. Как  быть, чтоб внешние подключения запретить кроме ipsec? Или есть только вариант добавить N-1 NAT на WAN интерфейс?

 

[Незнайка]

Насчёт логики описания жду ответа, сам не знаю. По мелодике работы - в Routeros, кмк, тоже дропается, пока явно не опишешь, из чего для себя сделал вывод, что в iptables оно везде так. 

[Незнайка]

Добрый день!

Что то мне тут говорят, что это не так работает, что вроде как если Drop all сделать, и IPsec включен, то всё равно будет работать. Можете проверить?

 

[Незнайка]

Тут ещё один вариант подсказали - можно использовать trusted access list, и внести нужный хост туда.

[means_nothing]

В 21.01.2019 в 17:32, Незнайка сказал:

Добрый день!

Что то мне тут говорят, что это не так работает, что вроде как если Drop all сделать, и IPsec включен, то всё равно будет работать. Можете проверить?

 

Так и делал. При этом IKE работал по UDP 500(ну здесь то firewall вообще бессилен), а вот ESP дропался. Повторю как-нибудь на досуге.

Еще раз о многострадальных маршрутизаторах, у которых отказывало конфигурирование: в конце того года перезагрузили их по питанию и я отключил  Broadcast Forward, так вот это не помогло, вчера обнаружил, что опять отвалилось конфигурирование)))))

[Незнайка]

17 hours ago, means_nothing said:

Так и делал. При этом IKE работал по UDP 500(ну здесь то firewall вообще бессилен), а вот ESP дропался. Повторю как-нибудь на досуге.

Еще раз о многострадальных маршрутизаторах, у которых отказывало конфигурирование: в конце того года перезагрузили их по питанию и я отключил  Broadcast Forward, так вот это не помогло, вчера обнаружил, что опять отвалилось конфигурирование)))))

Да, так и есть, повторять не надою Думаем.

По поводу отваливания конкурирования я не знаю, что сказать Может, этот какой то специфичный пакет прилетает?

[means_nothing]

Т.е ответа, как ESP пропустить через firewall, пока что нет?
Насчет конфигурирования я тоже уже не знаю что сказать)))

[Незнайка]

Ну как бы да... Понимаю, что выглядит странно, но внятного ответа получить пока не удалось.

SNMP не используется в сети (это я к вопросу пропадания конфигурирования)?

[means_nothing]

не используется)

[Незнайка]

А зависает всё? Http, https, ssh, telnet? А по snmp можно опросить при этом произвольный OID?

Это я к тому, кто за http и ssh совершенно точно разные сервисы отвечают... Может, имеет смысл в firewall как от описать выбранные IP на доступ к ним?

[means_nothing]

По Http, https, telnet, ssh и serial console не отвечает(т.е. по всем возможным способам))), на кнопку ресет не реагирует. SNMP отключен, так что ничего по этому поводу не могу сказать)