means_nothing Posted December 20, 2018 Author Share Posted December 20, 2018 Такой вопрос, а че, нет никакой возможности на маршрутизаторе посмотреть ARP с соответствием IP MAC Link to comment
Незнайка Posted December 20, 2018 Share Posted December 20, 2018 Сами удивляемся! . Uptime 27 дней у нас, пока работает. Link to comment
means_nothing Posted December 20, 2018 Author Share Posted December 20, 2018 может реально в прошивке 5 эта проблема не выявляется. Оборудование пришло, будет время и будет не лень, все-таки соберу с 4.2 стенд и все опробую. Насчет таблицы печально, конечно))) Link to comment
means_nothing Posted January 9, 2019 Author Share Posted January 9, 2019 Настраиваю IPsec, врубаю NAT-T на обоих маршрутизаторах(прошивка 5.0) во вкладке Global, а пакеты как шли в ESP, так и идут, как так? Link to comment
Незнайка Posted January 9, 2019 Share Posted January 9, 2019 И в UDP не оборачивается? Link to comment
Незнайка Posted January 9, 2019 Share Posted January 9, 2019 По предыдущему вопросу: Выключаем? Link to comment
Незнайка Posted January 9, 2019 Share Posted January 9, 2019 По NAT-T: wireshark'ом смотрите? Конфиг и pcap дадите? Link to comment
means_nothing Posted January 9, 2019 Author Share Posted January 9, 2019 ок, завтра скину. Link to comment
means_nothing Posted January 9, 2019 Author Share Posted January 9, 2019 ну стенд нет смысла держать уже, ага. может действительно в прошивке дело. недели 2 назад ресетнули по питанию те маршрутизаторы и я отключил broadcast forwarding, удаленно пробовать перепрошивать не стал, пока так оставил, понаблюдаю. пока работают, гады) Link to comment
means_nothing Posted January 10, 2019 Author Share Posted January 10, 2019 А вообще принудительно же никак не включить NAT-T, и он включается только при обнаружении натирающего устройства или все же нет? Еще такой момент, пользовался другими маршрутизаторами и там, если в Firewall все дропаешь кроме разрешенных соединений, то ESP не дропается по умолчанию, если включен ipsec, а в EDR-810 дропается и чет в профайлах не вижу, как разрешить. Как быть, чтоб внешние подключения запретить кроме ipsec? Или есть только вариант добавить N-1 NAT на WAN интерфейс? ipsec.pcapng MOXA_CFG_2.ini MOXA_CFG_1.ini Link to comment
Незнайка Posted January 10, 2019 Share Posted January 10, 2019 Вопрос хороший. Да, действительно, в IKE v1 нужно было включать NAT-T, иначе отбрасывался UDP трафик. В IKE v2 если устройства видят NAT, они автоматом начинают слать auth request'сы через UDP 4500. Честно говоря не знаю, какая у нас версия IKE, но судя по всему, и там и там NAT должен был присутствовать, иначе NAT-T не включался. Link to comment
means_nothing Posted January 10, 2019 Author Share Posted January 10, 2019 а что насчет вот этого 7 часов назад, means_nothing сказал: Еще такой момент, пользовался другими маршрутизаторами и там, если в Firewall все дропаешь кроме разрешенных соединений, то ESP не дропается по умолчанию, если включен ipsec, а в EDR-810 дропается и чет в профайлах не вижу, как разрешить. Как быть, чтоб внешние подключения запретить кроме ipsec? Или есть только вариант добавить N-1 NAT на WAN интерфейс? Link to comment
Незнайка Posted January 10, 2019 Share Posted January 10, 2019 Насчёт логики описания жду ответа, сам не знаю. По мелодике работы - в Routeros, кмк, тоже дропается, пока явно не опишешь, из чего для себя сделал вывод, что в iptables оно везде так. Link to comment
Незнайка Posted January 21, 2019 Share Posted January 21, 2019 Добрый день! Что то мне тут говорят, что это не так работает, что вроде как если Drop all сделать, и IPsec включен, то всё равно будет работать. Можете проверить? Link to comment
Незнайка Posted January 23, 2019 Share Posted January 23, 2019 Тут ещё один вариант подсказали - можно использовать trusted access list, и внести нужный хост туда. Link to comment
means_nothing Posted January 23, 2019 Author Share Posted January 23, 2019 В 21.01.2019 в 17:32, Незнайка сказал: Добрый день! Что то мне тут говорят, что это не так работает, что вроде как если Drop all сделать, и IPsec включен, то всё равно будет работать. Можете проверить? Так и делал. При этом IKE работал по UDP 500(ну здесь то firewall вообще бессилен), а вот ESP дропался. Повторю как-нибудь на досуге. Еще раз о многострадальных маршрутизаторах, у которых отказывало конфигурирование: в конце того года перезагрузили их по питанию и я отключил Broadcast Forward, так вот это не помогло, вчера обнаружил, что опять отвалилось конфигурирование))))) Link to comment
Незнайка Posted January 24, 2019 Share Posted January 24, 2019 17 hours ago, means_nothing said: Так и делал. При этом IKE работал по UDP 500(ну здесь то firewall вообще бессилен), а вот ESP дропался. Повторю как-нибудь на досуге. Еще раз о многострадальных маршрутизаторах, у которых отказывало конфигурирование: в конце того года перезагрузили их по питанию и я отключил Broadcast Forward, так вот это не помогло, вчера обнаружил, что опять отвалилось конфигурирование))))) Да, так и есть, повторять не надою Думаем. По поводу отваливания конкурирования я не знаю, что сказать Может, этот какой то специфичный пакет прилетает? Link to comment
means_nothing Posted January 24, 2019 Author Share Posted January 24, 2019 Т.е ответа, как ESP пропустить через firewall, пока что нет? Насчет конфигурирования я тоже уже не знаю что сказать))) Link to comment
Незнайка Posted January 25, 2019 Share Posted January 25, 2019 Ну как бы да... Понимаю, что выглядит странно, но внятного ответа получить пока не удалось. SNMP не используется в сети (это я к вопросу пропадания конфигурирования)? Link to comment
means_nothing Posted January 25, 2019 Author Share Posted January 25, 2019 не используется) Link to comment
Незнайка Posted January 28, 2019 Share Posted January 28, 2019 А зависает всё? Http, https, ssh, telnet? А по snmp можно опросить при этом произвольный OID? Это я к тому, кто за http и ssh совершенно точно разные сервисы отвечают... Может, имеет смысл в firewall как от описать выбранные IP на доступ к ним? Link to comment
means_nothing Posted January 28, 2019 Author Share Posted January 28, 2019 По Http, https, telnet, ssh и serial console не отвечает(т.е. по всем возможным способам))), на кнопку ресет не реагирует. SNMP отключен, так что ничего по этому поводу не могу сказать) Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now