logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Nie mogę zestawić połączenia VPN gateway-gateway między dwoma segmentami sieci

PiotrW007 06 Maj 2016 11:30 1416 14
REKLAMA
  • #1 15653916
    PiotrW007
    Poziom 9  
    Posty: 11
    Witam,
    Mam następujący problem. Próbuje zestawić połączenie VPN typu gateway-gateway między dwoma segmentami sieci. Oba segmenty są za routerami z zewnętrznymi adresami IP(WAN). Sygnał z jednej strony tunelu VPN(niech to będzie VPN_1) jest dostarczany za pomocą światłowodu, potem jest konwerter, a następnie skrętka podpięta do switcha(niech będzie S1), który rozdziela sygnał m. in. na router z VPN. Po drugiej stronie tunelu(niech to będzie VPN_2) tak samo jest światłowód, potem konwerter, a następnie router z VPN, tu już nie ma switcha. Na obu końcach bez problemu działa internet.
    Zestawiłem na próbę połączenie VPN w taki sposób, że podpiąłem do switcha - S1 (ze strony VPN_1) dwa routery z różnymi adresami IP(mam pewną pulę adresów zewnętrznych IP). I to bez problemu działa.
    Ale gdy jeden z routerów, tak samo skonfigurowany podłączam na końcu VPN_2(czyli zmieniam tylko fizyczne połączenie, a nie logiczne) VPN nie chce się zestawić. Tak jakby coś było nie tak z fizycznym połączeniem w punkcie VPN_2, tylko że internet tam działa bez problemu.
    Może ktoś ma jakiś pomysł na ten temat?
  • REKLAMA
  • #2 15653967
    salmon
    VIP Zasłużony dla elektroda
    Posty: 3477
    Pomógł: 435
    Ocena: 262
    Jaki standard VPN? Jakie routery? Jakieś informacje z logów prób połączeń?
  • #3 15654208
    PiotrW007
    Poziom 9  
    Posty: 11
    Routery: Cisco RV042G(VPN_1), Cisco WRVS4400N(VPN_2).
    W tunelu VPN używam IPSec.
    Jeśli chodzi o logi, nic się nie odkłada przy próbie zestawienia połączenia.
  • REKLAMA
  • #4 15654628
    salmon
    VIP Zasłużony dla elektroda
    Posty: 3477
    Pomógł: 435
    Ocena: 262
    A z tego punktu, co nie działa VPN jest połączenie do routera VPN_1? Nie ma problemów z routingiem/dostępem?
  • #5 15654909
    bresio
    Poziom 19  
    Posty: 398
    Pomógł: 25
    Ocena: 43
    Ogólnie z Routerami Cisco RV to są jakieś jaja jeżeli chodzi o VPN.
    Niby dokumentacja mówi, że 10 tuneli można zestawić, ale jeżeli przychodzi do ich konfiguracji, to za nic nie chce to działać.
    W KB Cisco są artykuły, jak to zrobić, ale jakoś nie specjalnie to chce działać.

    Po prostu, to słabe Routery do VPN są.

    Mam RV130W - po 3 dniach prób uruchomienia VPN powoli się poddaje.
    Na RV320 działa EasyVPN, ale średnio raz w tygodniu są jakieś problemy z połączeniem, które tak jak się pojawiają, tak same znikają.
  • #6 15654911
    czuker
    Poziom 25  
    Posty: 1017
    Pomógł: 80
    Ocena: 68
    routery w VPN_1 i VPN_2 nawzajem sie pingują?
    W pewnych przypadkach to że oba mają dostęp do internetu może nie mieć znaczenia.
  • #7 15660259
    PiotrW007
    Poziom 9  
    Posty: 11
    Nie pingują się. Próbowałem z obu routerów.
  • #8 15660270
    czuker
    Poziom 25  
    Posty: 1017
    Pomógł: 80
    Ocena: 68
    no to masz problem z sama komunikacją po IP zakładając że routery nie mają zablokowanego ICMP. Jeśli tak to zgłoś to operatorowi sieci który obsługuje te dwie lokalizacje. Podejrzewam że obie lokalizacje obsługuje ten sam.
    Ale najpierw sprawdź to ICMP - spróbuj pingować skądkolwiek interface WAN Twojego routera (o ile nie jest za NAT). Jeśli oba będa odpowiadać na ping ze świata a nie będą się pingować nawzajem to ewidentnie sprawa operatora. Albo ACL nie urządzeniach są niewłaściwe.
    Albo napisz jeszcze coś więcej o tym jak obie lokalizacje są podłączone bo na razie to się możemy tylko domyślać
  • #9 15660298
    PiotrW007
    Poziom 9  
    Posty: 11
    Oba routery pingują się po WAN (sprawdziłem z innej zewnętrznej sieci). Jeśli chodzi o ACL, chyba nie działałoby z tego powodu też to połączenie które zestawiłem na próbę(pisałem o tym na początku)?
    Obie lokalizacje tak jak wspomniałem są połączone światłowodem. Potem jest konwerter i w VPN_1 switch który rozdziela sygnał z WAN m. in. na router z VPN. Z drugiej strony(VPN_2) za konwerterem jest od razu router z VPN(bez switcha). Obie lokalizacje obsługuje ten sam operator.
  • REKLAMA
  • #10 15660310
    czuker
    Poziom 25  
    Posty: 1017
    Pomógł: 80
    Ocena: 68
    i nie ma żadnego switcha operatora? Jeśli tak - co to jest za switch (producent, model)?

    na początku robiłeś test i oba podłączyłeś do tego samego switcha w tej samej lokalizacji VPN_1. Czy obecnie konwerter w VPN_1 jest wpięty w ten sam port switcha co wcześniej wpięty był bezpośrednio router z VPN_2?
  • #11 15660316
    PiotrW007
    Poziom 9  
    Posty: 11
    Ten switch jest nasz. Rozdziela sygnał WAN tak, żeby można było podpiąć kilka adresów IP(WAN). Konwerter w VPN_1 cały czas jest wpięty tak samo w switcha. Nic tu nie zmieniałem. Po zrobieniu połączenia na próbę, po prostu podpiąłem jeden routerów w lokalizacji VPN_2(bezpośrednio do konwertera), niczego nie zmieniając w jego konfiguracji.
  • #12 15660372
    czuker
    Poziom 25  
    Posty: 1017
    Pomógł: 80
    Ocena: 68
    pytałem o rodzaj switcha w VPN_1.
    przy teście bezpośrednim routerem z VPN_2 został podpięty do któregoś portu switcha np. Fa 4, przeprowadziłeś test i zadziałało. Jak rozumiem w tym punkcie pominąłeś konwertery. Potem router wyniosłeś do VPN_2, podłączyłeś konwertery . Od strony VPN_2 sprawa jasna bo można to zrobić tylko w jedne sposób, a po stronie VPN_1? Czy port elektryczny konwertera wpiąłeś w ten sam port switcha czyli Fa 4.
    \

    Czy ten switch jest zarządzalny?
  • REKLAMA
  • #13 15660403
    PiotrW007
    Poziom 9  
    Posty: 11
    Switch D-Link, DGS-1008D, niezarządzalny. Przy teście sygnał szedł z IP(WAN2) jednego routera, do switcha(S1), potem konwerter, sieć światłowodowa, ten sam konwerter, switch(S1), drugi router IP(WAN1). Router który został w lokalizacji VPN_1, cały czas jest podpięty do tego samego portu switcha(S1). Router w lokalizacji VPN_2 został wpięty bezpośrednio za konwerterem z ustawionym IP (WAN2).
  • #14 15660431
    czuker
    Poziom 25  
    Posty: 1017
    Pomógł: 80
    Ocena: 68
    hmmmm
    Jeśli w obu przypadkach były użyte te same urządzenia i jedyna zmiana to to co znajdowało się pomiędzy konwerterami - raz patchcord, raz światłowód, do tego internet VPN_2 przez to samo łącze działa to zastanawiam się nad światłowodem pomiędzy lokalizacjami VPN1_ i VPN_2. Masz pewność że jest to ciemny światłowód a nie jakaś sieć Eth operatora?
    Mam jeszcze jedno pytanie choć to raczej w świetle innych ustaleń nie powinno być problemem: jaką masz maskę dla tych adresów IP?
  • #15 15660446
    PiotrW007
    Poziom 9  
    Posty: 11
    Maska: 255.255.255.240.
    Jeśli chodzi o fizyczne połączenie VPN_1 i VPN_2(światłowód, czy Eth) zapytam o to operatora. Może faktycznie wina jest u niego, skoro z zewnętrznej sieci mogę pingować adresy IP z lokalizacji (VPN_1, VPN_2), a z naszej firmowej nie.
    Dzięki za wszelką dotychczasową pomoc.

Podsumowanie tematu

✨ Użytkownik ma problem z zestawieniem połączenia VPN typu gateway-gateway między dwoma segmentami sieci, gdzie oba segmenty są za routerami z zewnętrznymi adresami IP. Połączenie VPN_1 działa poprawnie, ale po podłączeniu routera do VPN_2, połączenie nie chce się zestawić. Użytkownik korzysta z routerów Cisco RV042G i WRVS4400N oraz protokołu IPSec. Problemy z pingowaniem między routerami sugerują, że może być problem z komunikacją IP, co może wymagać interwencji operatora sieci. Użytkownik potwierdził, że oba routery pingują się po WAN, co wskazuje na możliwe problemy z konfiguracją lub sprzętem.
Podsumowanie wygenerowane przez AI na podstawie treści dyskusji.
REKLAMA