Я пытаюсь настроить туннель IPSec VPN через брандмауэр (ZyWall USG-50), но он работает не так, как должен.
ME [A.B.C.D] --- **INTERNET**
|
|
[A2.B2.C2.D2] **ROUTER** [192.168.0.254]
|
| (DMZ)
|
[192.168.0.250] **ZyWall USG50** [192.168.169.1]
|
|
|
LAN1 [[192.168.169.0/24]]
Я уже настроил VPN_gateway и VPN_connection на своем Zywall. Моя конфигурация ShrewSoft кажется чтобы быть хорошим, но когда туннель включен, я потерял подключение к Интернету, и я не могу проверить связь с устройствами в моей LAN1.
(снизу вверх):
16
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 [count=5]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
17
2014-06-27 14:07:27
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
18
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
19
2014-06-27 14:07:12
info
IKE
Send:[HASH][NOTIFY:R_U_THERE_ACK]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
20
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
21
2014-06-27 14:07:12
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
22
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
23
2014-06-27 14:07:12
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD
***************************
24
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xc7101df2] rekeyed successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
25
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x21a0e0db|0xc7101df2][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
26
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xdc10a224] built successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
27
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x3bd528f6|0xdc10a224][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
28
2014-06-27 14:06:57
info
IKE
[Policy: ipv4(192.168.169.0-192.168.169.255)-ipv4(192.168.43.115)] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
29
2014-06-27 14:06:57
info
IKE
[Responder:192.168.0.250][Initiator:A.B.C.D] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
30
2014-06-27 14:06:57
info
IKE
Recv:[HASH] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
31
2014-06-27 14:06:57
info
IKE
Send:[HASH][SA][NONCE][ID][ID] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
32
2014-06-27 14:06:57
info
IKE
Recv:[HASH][SA][NONCE][ID][ID] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
33
2014-06-27 14:06:57
info
IKE
Recv:[HASH][NOTIFY:INITIAL_CONTACT]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
34
2014-06-27 14:06:57
info
IKE
Phase 1 IKE SA process done
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
35
2014-06-27 14:06:57
info
IKE
Send:[ID][HASH]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
36
2014-06-27 14:06:57
info
IKE
Recv:[ID][HASH]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
37
2014-06-27 14:06:57
info
IKE
Send:[KE][NONCE]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
38
2014-06-27 14:06:57
info
IKE
Recv:[KE][NONCE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
39
2014-06-27 14:06:56
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD
Я следил за каждым шагом в Zywall Docs и в различных сообщениях сообщества shrewSoft, но я явно что-то пропустил ...
Если кто-то увидит что-то, что может пойти не так с этими журналами, я был бы признателен! (Или некоторые идеи для начала устранения неполадок) Спасибо.
[...] но когда туннель включен, я потерял подключение к Интернету, и я не могу проверить связь с устройствами в моей LAN1
Проблема с потерянным подключением к Интернету очень похожа на проблему «Разделенного туннеля». Если вы не включили разделенный туннель в своей конфигурации VPN, весь трафик, исходящий от вашего VPN-клиента, будет проходить через ваш VPN-шлюз.
При включении разделенного туннеля ваш VPN-клиент будет получать определенные маршруты и, следовательно, будет отправлять только интересный трафик в VPN-туннель.
Что касается другой проблемы (невозможность проверить связь с устройствами в LAN1), могут произойти три вещи.
Если вы пытаетесь выполнить эхо-запрос с именем устройства, вам, очевидно, понадобится конфигурация вашей VPN для «отправки» DNS-сервера клиенту VPN, который будет разрешать имена в сети LAN1. Вы можете проверить, не в этом ли проблема, посмотрев на устройства, используя их IP-адреса. Если это работает, это проблема DNS.
Некоторые правила брандмауэра могут отсутствовать. Возможно, вам придется явно указать брандмауэру разрешить трафик от клиентов VPN и к ним. Это следует проверить, просмотрев журналы трафика на брандмауэре.
Некоторые маршруты могут отсутствовать. Вы не указали, какой IP-адрес получает ваш VPN-клиент, но вы должны убедиться, что клиент знает, как маршрутизировать в сеть LAN1. Очевидно, вам также необходимо убедиться, что устройства в LAN1 знают, как маршрутизировать любую подсеть, которую вы используете на стороне клиента VPN. Это можно проверить, проверив таблицы маршрутизации на обоих устройствах в LAN1 и на вашем VPN-клиенте после того, как он подключен к VPN-туннелю.