NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
9.7.6. Особые признаки<br />
Существует два особых признака:<br />
1. Только одна сторона может инициировать установку туннеля.<br />
2. Невозможно установить туннель, и команда ikesnoop сообщает о проблеме config mode<br />
XAuth, даже если XAuth не используется.<br />
1. Только одна сторона может инициировать установку туннеля<br />
Причиной данной проблемы является несоответствие размера в локальной или удаленной сети и/или<br />
настройки срока действия в предлагаемом списке (-ах).<br />
Для поиска и устранения данной проблемы необходимо проверить настройки для локальной сети,<br />
удаленной сети, списка IKE proposal и списка IPsec на обеих сторонах для идентификации<br />
несоответствия.<br />
Например, предположим, что в каждой точке туннеля установлены следующие IPsec-настройки:<br />
• Сторона А<br />
Локальная сеть = 192.168.10.0/24<br />
Удаленная сеть = 10.10.10.0/24<br />
• Сторона Б<br />
Локальная сеть = 10.10.10.0/24<br />
Удаленная сеть = 192.168.10.0/16<br />
В данном сценарии указанный диапазон адресов удаленной сети на стороне Б больше, чем на<br />
стороне А. Это означает, что только сторона А может успешно инициировать установку туннеля к<br />
стороне Б, так как размер ее сети меньше. Когда сторона Б пытается установить туннель, сторона А<br />
отклоняет эту попытку, так как размер сети больше, чем указано. Причина заключается в том, что<br />
сети с меньшим размером являются более защищенными. Это также относится к сроку действия в<br />
списках proposal.<br />
2. Невозможно настроить по запросу конфигурации. Поддельное сообщение<br />
XAuth<br />
Основная причина отправки этого сообщения – «No proposal chosen». Это происходит в случае<br />
неподходящего размера локальной или удаленной сети. Так как система NetDefendOS определила,<br />
что проблема заключается в размере сети, она предпримет последнюю попытку получить корректные<br />
настройки, отправив запрос на конфигурирование.<br />
С помощью ikesnoop, когда обе стороны инициируют туннель, можно легко сравнить, находятся ли<br />
обе стороны в фазе-2. С помощью этой информации можно определить проблемы в сети. Возможно,<br />
причина в несоответствии размера сети или в полном отсутствии соответствия.<br />
425