IPSec VPN туннель. Как добавить несколько удаленных сетей

[alexdiv]

Добрый день! Сделал site-to-site vpn между ASA и  Keenetic Giga. Всё работает нормально. Но есть проблема: не удается добавить больше одной удаленной сети на кинетике(на ASA с этим проблем нет). Пытался через консоль добавить в ACL  _WEBADMIN_IPSEC_VPN ещё одну строку, но отрабатывает только первая в списке ACL(на циске при этом ничего не перенастраиваю). В мануале об этом сказано.

Подскажите как добавить больше одной удаленной сети.

[alexdiv]

Если упростить задачу до такой, кто-то может подсказать решение?

[Deadlock]

В 12.08.2022 в 08:11, alexdiv сказал:

Если упростить задачу до такой, кто-то может подсказать решение?

Ну вполне рабочая, я так и решил свою подобную задачу. В центральном офисе три подсети (две на виланах). Пришлось в филиале на кинетике включить L2TP/IPsec клиент, при этом создаётся соответственно интерфейс. Прописал маршруты ко всем подсеткам и усё!

[Alexey Lyahkov]

Есть более простое решение.

Создаем ipsec в режиме точка-точка, внутрь этого ipsec добавляем ip-ip / gre тунели.  Внимательно следим за src address для пакетов тунеля. Нужный адрес создаем как алиас на интересе Home.

После чего задача упрощается - и в тунель можно заворачивать любые сети.

как-то так

access-list _WEBADMIN_IPSEC_sev
    permit ip 198.18.0.3 255.255.255.255 198.18.0.2 255.255.255.255

...

interface Bridge0
    rename Home
    description "Home network"
    ip address 192.168.3.1 255.255.255.0
    ip alias 198.18.0.3 255.255.255.255

interface IPIP0
    security-level private
    ip address 198.18.1.6 255.255.255.252
    ip mtu 1400
    ip access-group _WEBADMIN_IPIP0 in
    ip global 41221
    ip tcp adjust-mss pmtu
    tunnel source 198.18.0.3
    tunnel destination 198.18.0.2
    up

у самого ipsec - настраиваем авторизацию по FQDN.

 

[PavR]

Alexey, здравствуйте!

Можете подробнее описать как реализовать схему проброса дополнительных удалённых подсетей в IPsec site-to-site через туннель IPIP в Keenetic?

Если можно с примером конфига?