[Omni 2 ipsec - доступ только от инициатора к респондеру]

5 часов назад, Le ecureuil сказал:

Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально.

Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan.

[Omni 2 ipsec - доступ только от инициатора к респондеру]

Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой.

192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16

Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16)

Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24.

Может ли быть проблема в том, что у omni 2 динамический ip?

Либо, вероятнее, в маршрутах?

Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway?

 

[повесить ACL на interface WifiMaster0/AccessPoint0]

Привет! Хочу ограничить доступ пользователям wireless, например до веб-морды роутера. Пытаюсь повесить правило на интерфейс WifiMaster0/AccessPoint0 - не работает.

На Bridge0 получается, но тогда правило работает и на клиентов внутренней сети, подключенных к желтым ethernet интерфейсам.

Как мне правильно сделать?

Версия NDMS

v2.05(AANT.20)C2