gaaronk

На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. будет и интернет и контроль доступа А в Б

Шесть лет прошло, а проблемы все те жи…

NAT а кинетике всегда был кривой как турецкая сабля. Причем это сделано специально. Что бы у обычного домашнего пользователя не было проблем с утечкой серых адресов или что где то забыли маршрут прописать. Ну вот такое оно.

Это потому что кинетик смотрит принадлежит ли src интерфейс или сеть уровню private. А ваша сеть 192.168.1.0/24 не соответствует адресации ни на одном приватном интерфейсе. Значит она public. А раз public - делаем DNAT. А указать уровень для сети, не интерфейса - нельзя. Такая логика. SOHO железка же. Без всей этой сложной маршрутизации и т.д.

Да. Я вспомнил что есть у кинетика такое поведение. Даже обсуждал это тут на форуме. Сейчас с телефона и не найду уже. Типа тут так принято. На пфсенс надо все что не идет в сторону 192.168/16 делать snat/masquerade в адрес на wg интерфейсе. А с кинетика эту строку убрать

надо посмотреть настройки iptables. или через entware или через self-test

Попробуйте настроить в CLI no isolate-private interface Wireguard0 security-level private

Через CLI vlan это все настроить можно. Но любое изменение настроек wan через web-ui приводит к тому то все настройки vlan сбрасываются и локалка с этого порта пропадает.

Есть же openconnect в entware.

Так как с этим vlan уже есть сегмент - прописать не дает, говорит "этот номер уже используется"

А вот такой вопрос Есть порт на котором настроен switchport mode trunk switchport trunk vlan 20 При добавлении нового WAN порта с vlan 90 на этот интерфейс - любое изменение настроек этого WAN через web-ui не добавляет switchport trunk vlan 90 к существующему vlan, а заменяет его. Как сделать что бы настройка WAN с vlan не затирала существующие vlan в транке?

Надо задать opkg initrc /opt/etc/init.d/rc.unslung

ПО 3.9.2 При задании для Site-to-Site IPSec туннеля длинной 96 символов он корректно задается и отображается в web-ui А в cli или сохраняемом конфиге crypto engine hardware ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. crypto ike proposal test2 Через CLI длиннее чем 70 символов не задать. Как быть?

Понятно. Кинетик использует routed-based vpn с vti И маршруты прописывает не strongswan, а обвязка. Видимо да, не умеют и надо писать руками.

Вот это " маршруты прописанные руками (через впн на внешку) с кинетика убрал" Что было прописано? скриншот или вывод show ip route ? В свойствах VPN клиента стоит "Использовать для выхода в интернет" ?

Тут такое дело. Strongswan (а в кинетике он) получает от удаленного сервера сети. для этих сетей вставляет IPSec SA в ядро. Не знаю как в кинетике, а в shell их можно посмотреть через ip x p ip x s Далее по идее клиенту не нужны маршруты. Он отправляет трафик по маршруту по умолчанию (в сторону интернет), ядро видит что трафик попадает под критерий IPSec SA, и уже само их шифрует, туннелирует и тд. А какие маршруты вы пишите? И странно что в выводе пустая секция SA keys:

А еще можно вывод show ip route show ip route table 248

В dynamic по другому немного. Пишите, подскажу

это Site-to-Site VPN или кинетик настроен как VPN-подключения? что говорит вывод команды show ipsec ?

И на кинетике на интерфейсе выставит как минимум ipsec proposal lifetime 172800 ipsec transform-set lifetime 86400 потому что после четырех пересогласований ESP SA кинетик туннель полностью перестраивает с нуля. это бага. в 4.0 уже пофикшена А на strongswan ikelifetime=48h keyexchange=ikev2 keyingtries=1 lifetime=30h inactivity=10m rekeyfuzz=0% margintime=5m type=transport

Для автотуннеля на IPIP интерфейсе, со стороны Strongswan описывайте так leftauth=psk leftid=userfqdn:IPIP0 leftsubnet=%dynamic[ipip] right=%any rightauth=psk rightid=userfqdn:IPIP0 rightsubnet=%dynamic[ipip] ipsec.secrets @@IPIP0 @@IPIP0 : PSK "<ключ>" Вот так, с двумя собачками. NAT no nat Home и потом ip static Home <интерфейс к провайдеру> у меня ip static Home PPPoE0

Сделайте на кинетике маршрут в сторону Интернет только для адреса /32 вашего сервера Постройте GRE туннель, его и пошифруйте IPSec'ом И уже в GRE туннель настройте маршрут по умолчанию. Настройку линукса и кинетика могу подсказать если что - пишите в личку.

Офисный ipsec-сервер на чем настроен?

А модно в конфигурацию avahi в секцию [server] добавить опцию allow-point-to-point=yes Что бы mDNS работал через туннели у которых security-level private

До версии 4.0 был ручной IPSec туннель для GRE трафика. Примерно так access-list acl-tun-gre permit gre <ip кинетика> 255.255.255.255 <ip удаленного хоста> 255.255.255.255 crypto map gre-tunnel match-address acl-tun-gre Как указать GRE протокол в новых "object-group ip" используемых для traffic-selectors ? Из-за этого ручные туннель сломались....