Тема: Устройство SIP-CDA1 не работает через IPSec VPN

11.11.21 11:42 korobeynikov2 (11/11.11.21)

Отправили WireShark-файл на почту. Смысл заключается в том, что через IPSec VPN трафик ходит, но при вводе IP-адреса SIP-CDA1 устройство не открывается.

192.XXX.XXX.62 - IP-адрес SIP-CDA1
192.XXX.XXX.3 - IP-адрес ПК в той же подсети
192.XXX.XXX.226 - IP-адрес ПК из другой подсети без IPSec
172.XXX.XXX.3 - IP-адрес ПК из другой подсети с выносом IPSec.

[ #1 ] 11.11.21 11:55 Oleg [Editor] KOMENDANT LAB

Не будет работать при MTU меньше 1500

[ #2 ] 11.11.21 12:18 korobeynikov2 (11/11.11.21)

1500 может быть не во всех сетях, это не норм. Из техподдержки обещали посмотреть.

[ #3 ] 11.11.21 12:18 Tech.Support KOMENDANT LAB

По дампу видно, как SIP-CDA1 отвечает 172.XXX.XXX.3 401 Authorization Required, но не видно предшествующего запроса. Скорее всего из-за фильтра в wireshark или одностороннего зеркалирования. Выбрали TX или RX, а нужно both.

[ #4 ] 11.11.21 12:22 Oleg [Editor] KOMENDANT LAB

Доработка возможности использования MTU менее 1500 в планах присутствует, но не в первоочередных, т.е. не в ближайшем будущем.

[ #5 ] 11.11.21 12:23 korobeynikov2 (11/11.11.21)

Нет, стояло both, вы же видите трафик ping предыдущий....

[ #6 ] 11.11.21 12:28 Tech.Support KOMENDANT LAB

Все tcp и udp представлено только от адаптера. Нет запросов (GET), но есть ответы. Значит пакеты запросов были, но в логе они не отображены.

[ #7 ] 11.11.21 12:32 korobeynikov2 (11/11.11.21)

Сейчас переснимем дамп.

[ #8 ] 11.11.21 13:05 korobeynikov2 (11/11.11.21)

Задампили снова, на почту выслал.

[ #9 ] 11.11.21 13:42 Tech.Support KOMENDANT LAB

В этом дампе tcp пакеты вложены в udp, такое вообще работать на наших устройствах не должно. Либо дамп снят не с SIP-CDA1, а еще на уровне VPN. Нужен такой же дамп, как первый, только с двухсторонней связью, чтобы увидеть запросы GET, приходящие на SIP-CDA1.

[ #10 ] 11.11.21 14:08 korobeynikov2 (11/11.11.21)

Просто дамп снять через streaming-server. На Микротике выбираешь бридж, указываешь IP-адрес компа где стоит WireShark и TCP Port 37008, жмёшь кнопку Run и ловишь на ПК. Может в этом дело? Записать локально на Микротике?

[ #11 ] 11.11.21 14:18 Tech.Support KOMENDANT LAB

Неважно как. Главное, чтобы он был такого вида, как первый, только двунаправленный. Как-то же получилось в первый раз.

[ #12 ] 13.11.21 5:19 korobeynikov2 (11/11.11.21)

Как отснять полный дамп с интерфейса в Микротике в обе стороны - пока нет времени разбираться, тем не менее в настройках EoIP выставили MTU 1500 и заработало, но это не решение проблемы по сути дела.

[ #13 ] 16.10.23 15:00 Alexandr (9/16.10.23)

При использовании Keenetic и их Сервис KeenDNS, на панель можно заходить через интернет, без белого IP, правда через CHROME не заходит, через Internet Explorer все работает.