Форумы  ·  Войти  · 

Тема: Устройство SIP-CDA1 не работает через IPSec VPN

11.11.21 11:42   korobeynikov2  (11/11.11.21)  

Отправили WireShark-файл на почту. Смысл заключается в том, что через IPSec VPN трафик ходит, но при вводе IP-адреса SIP-CDA1 устройство не открывается.

192.XXX.XXX.62 - IP-адрес SIP-CDA1
192.XXX.XXX.3   - IP-адрес ПК в той же подсети
192.XXX.XXX.226 - IP-адрес ПК из другой подсети без IPSec
172.XXX.XXX.3   - IP-адрес ПК из другой подсети с выносом IPSec.

[ #1 ]  11.11.21 11:55   Oleg [Editor]  KOMENDANT LAB  

Не будет работать при MTU меньше 1500

[ #2 ]  11.11.21 12:18   korobeynikov2  (11/11.11.21)  

1500 может быть не во всех сетях, это не норм. Из техподдержки обещали посмотреть.

[ #3 ]  11.11.21 12:18   Reboot  KOMENDANT LAB  

По дампу видно, как SIP-CDA1 отвечает 172.XXX.XXX.3 401 Authorization Required, но не видно предшествующего запроса. Скорее всего из-за фильтра в wireshark или одностороннего зеркалирования. Выбрали TX или RX, а нужно both.

[ #4 ]  11.11.21 12:22   Oleg [Editor]  KOMENDANT LAB  

Доработка возможности использования MTU менее 1500 в планах присутствует, но не в первоочередных, т.е. не в ближайшем будущем.

[ #5 ]  11.11.21 12:23   korobeynikov2  (11/11.11.21)  

Нет, стояло both, вы же видите трафик ping предыдущий....

[ #6 ]  11.11.21 12:28   Reboot  KOMENDANT LAB  

Все tcp и udp представлено только от адаптера. Нет запросов (GET), но есть ответы. Значит пакеты запросов были, но в логе они не отображены.

[ #7 ]  11.11.21 12:32   korobeynikov2  (11/11.11.21)  

Сейчас переснимем дамп.

[ #8 ]  11.11.21 13:05   korobeynikov2  (11/11.11.21)  

Задампили снова, на почту выслал.

[ #9 ]  11.11.21 13:42   Reboot  KOMENDANT LAB  

В этом дампе tcp пакеты вложены в udp, такое вообще работать на наших устройствах не должно. Либо дамп снят не с SIP-CDA1, а еще на уровне VPN. Нужен такой же дамп, как первый, только с двухсторонней связью, чтобы увидеть запросы GET, приходящие на SIP-CDA1.

[ #10 ]  11.11.21 14:08   korobeynikov2  (11/11.11.21)  

Просто дамп снять через streaming-server. На Микротике выбираешь бридж, указываешь IP-адрес компа где стоит WireShark и TCP Port 37008, жмёшь кнопку Run и ловишь на ПК. Может в этом дело? Записать локально на Микротике?

[ #11 ]  11.11.21 14:18   Reboot  KOMENDANT LAB  

Неважно как. Главное, чтобы он был такого вида, как первый, только двунаправленный. Как-то же получилось в первый раз.

[ #12 ]  13.11.21 5:19   korobeynikov2  (11/11.11.21)  

Как отснять полный дамп с интерфейса в Микротике в обе стороны - пока нет времени разбираться, тем не менее в настройках EoIP выставили MTU 1500 и заработало, но это не решение проблемы по сути дела.

©1999-2021 Компания АТСН, РФ, Москва