VPN Med D-Link DI-713P

[Thomas S]

Jag undrar om det är någon som har fått VPN Pass Through via IPSec att fungera med DI-713P Den ska ju enligt spec. fungera men hur ska man då konfigurera den. Använder Netscreen Remote som mjukvara på min laptop för att logga in mot kontoret. Tacksam för svar.

/Thomas S

 

[Mr Andersson]

Du måste aktivera NAT-traversal i både brandväggen och klienten.

 

[inlägget ändrat 2003-01-03 16:11:25 av Mr Andersson]

[Thomas S]

Har kollat runt i både DI-713P och i Netscreen Remote utan att hitta det du hänvisar till, har även kollat med D-Link:s support och dom känner inte till det här.

 

 

[Mr Andersson]

Jag menar alltså den brandväggen som du ansluter till. Den måste ha en funktion som heter NAT Traversal. Är det en Netscreen är det inga problem.

 

 

 

[Thomas S]

Ok, då är jag med, ska ta mig en titt i vår netscren 25:a då, vi har VPN polices uppsatta och det funkar helt OK när vi kör uppringda förbindelser men inte när vi kör över ADSL med en router i mellan. Har inte hållt på med det här själv utan vi har anlitat en konsult som löst det tidigare men tydligen har dom inte lyssnat när vi har sagt att vi kommer att använda det med NAT när vi befinner oss hemma. Tack för infot

 

 

 

[Mr Andersson]

För att göra det lite lättare för dig;

 

I version 4.xx gör du så här:

 

Meny VPNs

AutoKey Advanced

Gateway

 

Klicka på "Edit" i listan till höger på önskad gateway.

 

Klicka på knappen "Advanced" längst ner.

 

Kryssa för NAT-traversal och UDP-checksum. Keepalive kan vara default (5).

 

 

 

[Thomas S]

Tackar så mycket, vad du är påläst på Netscreen, kör du det själv/jobbar med Netscreen? Själv började jag precis känna mig lite varm i kläderna med 3.xx när dom bytte GUI så nu är det till att börja om, har även en NS-5XP liggande, får väl börja rota runt i den för att lära mig lite mer. Tack än en gång

 

 

 

[Thomas S]

Var precis inne och kollade och den är redan inställd som du beskriver, så jag antar att problemet ligger i utrustningen i andra sidan i och med att det inte är några problem men att få tillgång till interna nätet när man ringer upp med modem. Har testat med både Telias SurfinBurd och D-Link DI-713P i andra ändan utan att få det att funka ordentligt, får ta mig en titt på det ikväll, enligt D-Link ska det fungera med deras burk om man kör på en fast IP på insidan genom att defeniera port 500 i utrymmet för virituel server i DI-713P och pekar virituella servern på det IP som klienten har. Ja ja det är bara att testa vidare. Tack än en gång för dina råd och tips.

 

 

[Mr Andersson]

Jag pillar en hel del med Netscreen, framför allt VPN.

 

Det nya GUI:t är lite trevligare och det finns många trevliga funktioner.

 

 

 

[Hyperboy]

Bara lite nyfiken

Har tittat lite på Netscreen för VPN

bla 5XT

har du jobbat med den ?

 

/Matte

 

[Mr Andersson]

Jag har provat med några andra Dlink-produkter, som Dlink säger ska fungera med IPsec, men det gör dom inte. Supporten har inte en susning om hur man ska göra, utan det är "fel på din brandvägg" etc.....

 

Problemet är att VPN-paketen varken är UDP eller TCP, vilket gör att en NAT-router inte klarar av att veta vilken dator som ska ha paketet på insidan.

 

Det NAT-traversal gör, är man hänger på UDP-paket på VPN-paketet och på så sätt "lurar" NAT-routern.

 

Tänk på att det är Port 500 UDP du ska öppna, inte TCP.

 

 

 

[Mr Andersson]

Mest med 5XP men även lite 5XT, men det skiljer i princip ingenting på mjukvaran mellan dem.

 

 

 

[Thomas S]

Ja jag har förflyttat mig från kontoret till hemmet testat lite nu och kan konstatera att det är inga problem att köra genom Telia SurfinBird, fungerar som det ska. Vad det gäller din åsikt om D-Links support är jag benägen att hålla med.

 

 

[Thomas S]

Har nu gett upp om att försöka använda DI-713P tillsammans Netscreen Remote utan har istället valt att ansluta en D-Link DWL-1000AP till en Telia SerfinBird och det fungerar utan problem. Det ända som återstår nu är att ta en titt på LMHOST filen för att förenkla saker och ting ytterligare. Det verkar som Mr Anderssons erfarenheter av D-Link produkter stämmer. DI-713P ska enligt D-Link fungera med "Förutom de vanliga routingprotokollen som TCP/IP, NAT, DHCP, UDP, PPPoE och Virtual Server har DI-713P dessutom stöd för VPN Pass Through protokoll som PPTP, L2TP och IPSec". Det kan möjligen fungera med någon annan klient än Netscreen Remote (SafeNet).

 

[Thomas S]

När jag ändå har dig på tråden.....kanske du kan hjälpa mig med en sak, var i det Netscreen OS 4.xx ställer man in det man normalt brukar kalla för gateway, alltså (IP) adressen. Har suttit ett bra tag med en NS-5XP som jag tänkte ha på ett av våra kontor men inte lyckats hitta detta i burken. Alltid tacksam för svar

 

[Mr Andersson]

Kör du den i Transparent Mode, behöver du inte bry dig öht.

 

Kör den i NAT-mode, går du in på Network > Routing > Routing Table och sen väljer du "New".

 

Däri väljer du "Gateway".

Interface = untrust

Ip-adress = ????

Metric = 1

Tag = 0

 

OK

 

 

 

 

[Mr Andersson]

Jag lovar dig, problemet ligger inte i Netscreens produkter, om du förstår....

 

 

 

[Thomas S]

Jag jag tror dig på den punkten om att det inte är Netscreen som är problemet.