Андрей🌐
Вот схему бы подробнее
Дмитрий
эх
Андрей🌐
Влан к какому ge присвоен?
Андрей🌐
И локалка на каком ge?
Дмитрий
onatoli4
а если разрешить ассиметричные маршруты в настройках фаервола?
Андрей🌐
Ну это на всякий случай
onatoli4
хм, надо тогда по логам смотреть какое правило блокирует
onatoli4
в логах есть чтото?
Дмитрий
нету
Дмитрий
смотрели всяков
Дмитрий
даже лог на все правилах включили
onatoli4
а логирование включено в правилах?
Дмитрий
да
Дмитрий
только Лог
onatoli4
нет доступа между из ge3 в vlan?
onatoli4
это я понял, откуда куда нет доступа?
Дмитрий
Просто схему сложно описать, но попробую.
Итак Есть Zywall с локальной сеткой 192.168.91.0/24
Внутри это сетки стоят 2 Cisco 881 на них настроен DMVPN  c другими сетями. Zywall о них знает только через Static Route
Дмитрий
вот кто за Cisco видит 192.168.91.0 но не видит VLAN
Андрей🌐
Так тебе надо Лан пустить в ипсек
Андрей🌐
В правиле
Андрей🌐
Хотя если б этого небыло, то и 91.0 не работалобы
Дмитрий
да тут или Роут
Дмитрий
или хз
Андрей🌐
Ну если работает при отключении файрвола, то надо копать правила
Андрей🌐
А зувал с цицками как связан?
onatoli4
топологию бы полную со всеми адресами, и проследить как идут пакеты, задампив трафик
Андрей🌐
вот кто за Cisco видит 192.168.91.0 но не видит VLAN
Попробуй динамический маршрут создать от 91.0 в влан натом
Андрей🌐
Если прокатит то где-то какой-то маршрут не отрабатывает
Дмитрий
правда как связаны маршруты и правла файрвалл
onatoli4
подозреваю, что дело не в правилах, а в трафике, SPI блокирует
Nikolay 🕸
@china_china @Onatoli4
UPD. кас. аутентификации L2TP через группу AD. Дело было в прошивке. в V4.35(AAAB.3) эта функция поломана. По совету форума поддержки Zyxel перешел на V4.35(AAAB.3)ITS-WK13-r92843 и все заработало с полпинка.
@FDcnc MSCHAP тоже работает. PAP отключен.
Anonymous
Надо глянуть
Anonymous
@china_china @Onatoli4
UPD. кас. аутентификации L2TP через группу AD. Дело было в прошивке. в V4.35(AAAB.3) эта функция поломана. По совету форума поддержки Zyxel перешел на V4.35(AAAB.3)ITS-WK13-r92843 и все заработало с полпинка.
@FDcnc MSCHAP тоже работает. PAP отключен.
Дома буду, гляну, если не горит
Nikolay 🕸
Нет не горит. У меня все заработало :)
Nikolay 🕸
Жалко, что Вас мучил глупыми вопросами.
Anonymous
Nikolay 🕸
Финальная V4.35(AAAB.3),
Перешел на недельку V4.35(AAAB.3)ITS-WK13-r92843 и заработало
Anonymous
Ок, дома буду, гляну
Anonymous
Народ, подскажите, у меня порт 8999 насилуют на zywall usg60w, подняты SSL и L2TP VPN. Чем может быть черевато?
Дмитрий км ит
На хабре была статейка, что этот порт используется для взлома ВПН, если мне не изменяет память, в частности эксплуатируется через торрент
Дмитрий км ит
Но, могу ошибаться
Pavel
@china_china @Onatoli4
UPD. кас. аутентификации L2TP через группу AD. Дело было в прошивке. в V4.35(AAAB.3) эта функция поломана. По совету форума поддержки Zyxel перешел на V4.35(AAAB.3)ITS-WK13-r92843 и все заработало с полпинка.
@FDcnc MSCHAP тоже работает. PAP отключен.
Вчера настраивал L2TP через AD. Помучиться конечно пришлось, но обошлось без недельной прошивки. MS-CHAPv2 работает, в том числе с подхватом данных из ОС.
Nikolay 🕸
У меня тоже авторизация L2TP по ad тоже работала.
Не работала авторизация L2TP по группам AD.
Дмитрий
Всем привет
Дмитрий
Вопросик
Дмитрий
Как слить конфиг полностью из 1 usg60 в другой
Дмитрий
Дмитрий
Точнее как я понимаю вот конфиги
Pavel
startup-config.conf
Дмитрий
Проблема была такая был 60 с сложным конфигом я его не слил и роутер сгорел
Дмитрий
От шаровой молнии
Pavel
Да. Единственное сертификаты не переносит.
Дмитрий
😆
Дмитрий
Потом мучался
Anonymous
У меня тоже авторизация L2TP по ad тоже работала.
Не работала авторизация L2TP по группам AD.
по группа, у тебя несколько групп входило куда?
Anonymous
как были указаны группы, пытаюсь понять)
Anonymous
CN=Zywall,OU=Zywall,OU=Group,OU=azz,DC=corp,DC=azz,DC=ru
Anonymous
в эту групу если попадает пользователь все рабоате
Nikolay 🕸
по группа, у тебя несколько групп входило куда?
Нет. был создан внутренний пользователь AD-VPN (ext-group-user) который проверял слстоит ли пользователь AD в группе AD VPN-users. (CN=VPN-users,CN=Users,DC=yt,DC=local)
Сам же пользователь AD-VPN входил в группу allowed-users для L2TP
Anonymous
в конце мы сделали так , на самом зувале в объектах/юзерх/группах создали группу ALL, куда пихнули и группу АД и пользхователей локальных на зувал
Anonymous
Nikolay 🕸
так в ext group user должна указываться группа в ад, не?
ну так она и была указана CN=VPN-users,CN=Users,DC=yt,DC=local
Anonymous
ну так она и была указана CN=VPN-users,CN=Users,DC=yt,DC=local
ну вот у меня на нормальной прошивке все работает
Nikolay 🕸
класс. но у меня только на недельке. причем конфиг один и тотже.
Ладно, главное работает. На очереди двухфакторная аутентификация.
Anonymous
в ААА сервере в базе DN указывается путь к ЛДАПУ корня твоей ОУ где лежат пользователи, в bind DN указывается пользователь для чтения АД в той же оу корня