r13 Posted January 16, 2017 Share Posted January 16, 2017 добрый вечер Ультра2 v2.09(AAUX.3)A0 При подключении с андройд телефона к virtualip или pptp серверу не могу попасть на удаленный конец голого ipsec туннеля, судя по трассировке пакеты маршрутизируются в интернет раньше вроде благодаря нату на этих подключениях все работало... или я заблуждаюсь? селфтест далее Quote Link to comment Share on other sites More sharing options...
KorDen Posted January 16, 2017 Share Posted January 16, 2017 (могу ошибаться) Голый IPSec на то и голый IPSec, что не маршрутизируется ни в одну, ни в другую сторону, т.к. использует политики, а не маршрутизацию... А подружить одновременно IPIP/IPSec-"сервер" и VirtualIP-сервер на одном роутере лично у меня пока не получилось - что-то одно да не работает Quote Link to comment Share on other sites More sharing options...
r13 Posted January 16, 2017 Author Share Posted January 16, 2017 Ну вроде как из-за того что на удаленных подключениях включен нат раньше вроде пакеты на входе транслировались и становились типа локальным трафиком. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 17, 2017 Share Posted January 17, 2017 20 часов назад, r13 сказал: добрый вечер Ультра2 v2.09(AAUX.3)A0 При подключении с андройд телефона к virtualip или pptp серверу не могу попасть на удаленный конец голого ipsec туннеля, судя по трассировке пакеты маршрутизируются в интернет раньше вроде благодаря нату на этих подключениях все работало... или я заблуждаюсь? селфтест далее А "удаленный конец" туннелей - это какой именно адрес? Quote Link to comment Share on other sites More sharing options...
r13 Posted January 17, 2017 Author Share Posted January 17, 2017 (edited) @Le ecureuil Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24 Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера) Edited January 17, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 17, 2017 Share Posted January 17, 2017 40 минут назад, r13 сказал: @Le ecureuil Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24 Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера) Ах вот оно что. Проверим. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 17, 2017 Share Posted January 17, 2017 1 час назад, r13 сказал: @Le ecureuil Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24 Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера) Проверил, NAT работает корректно. Похоже на проблему клиента, который шлет трафик незашифрованным. На какой последней прошивке точно работало? Quote Link to comment Share on other sites More sharing options...
r13 Posted January 17, 2017 Author Share Posted January 17, 2017 (edited) @Le ecureuil Работало перед новым годом, значит крайняя 2.08 у меня была. Да вы правы проверил трассировкой пакеты с телефона на 192.168.10.1 идут через интернет а не через туннель. Еще заметил что следующая строчка при коннекте в логе есть только при настройке доступа к Home в VirtualIP Jan 17 20:57:19 ipsec03[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24 Ранее для настройки Интернет в VirtualIP тоже была соответствующая строчка в логе. Сейчас она отсутствует. Полагаю это передача маршрутов клиенту? Видимо это и поломалось. Edited January 17, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 19, 2017 Share Posted January 19, 2017 В 1/17/2017 в 21:07, r13 сказал: @Le ecureuil Работало перед новым годом, значит крайняя 2.08 у меня была. Да вы правы проверил трассировкой пакеты с телефона на 192.168.10.1 идут через интернет а не через туннель. Еще заметил что следующая строчка при коннекте в логе есть только при настройке доступа к Home в VirtualIP Jan 17 20:57:19 ipsec03[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24 Ранее для настройки Интернет в VirtualIP тоже была соответствующая строчка в логе. Сейчас она отсутствует. Полагаю это передача маршрутов клиенту? Видимо это и поломалось. Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP. Quote Link to comment Share on other sites More sharing options...
r13 Posted January 19, 2017 Author Share Posted January 19, 2017 6 минут назад, Le ecureuil сказал: Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP. @Le ecureuil Вы меня не так поняли, при заходе из вне если Virtual IP настроен на сегмент Home sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24, а если на сегмент Internet, то никакого sending UNITY_SPLIT_INCLUDE нет вообще. Не должен ли Virtual IP передавать sending UNITY_SPLIT_INCLUDE 0.0.0.0 в данном случае? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 19, 2017 Share Posted January 19, 2017 3 минуты назад, r13 сказал: @Le ecureuil Вы меня не так поняли, при заходе из вне если Virtual IP настроен на сегмент Home sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24, а если на сегмент Internet, то никакого sending UNITY_SPLIT_INCLUDE нет вообще. Не должен ли Virtual IP передавать sending UNITY_SPLIT_INCLUDE 0.0.0.0 в данном случае? Надо разобраться, посмотрим. Quote Link to comment Share on other sites More sharing options...
r13 Posted January 19, 2017 Author Share Posted January 19, 2017 @Le ecureuil Еще более пристально погонял traceroute Вроде как все существующие маршруты отрабатывают корректно, кроме роутинга в подсети с голым ipsec туннелем эти трассы заварачиваются в интернет. Отсюда я вернулся к изначальному вопросу топика Должен ли работать доступ к удаленному роутеру подключенному через голый ipsec туннель через удаленное подключение VirtualIP с NAT или нет? PS если сохранилась, вечером попробую с 2.08 это проверить. Quote Link to comment Share on other sites More sharing options...
r13 Posted January 19, 2017 Author Share Posted January 19, 2017 @Le ecureuil Откатился, проверил. Не работает. Видимо приснилось. Так что тема более не актуальна. Кстати в 2,08 более логично называлось поле выбора сети в настройке VirtualIP по сравнению с 2,09 Было: "Доступ к сети" Стало:"Локальная сеть" Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 19, 2017 Share Posted January 19, 2017 6 часов назад, r13 сказал: @Le ecureuil Еще более пристально погонял traceroute Вроде как все существующие маршруты отрабатывают корректно, кроме роутинга в подсети с голым ipsec туннелем эти трассы заварачиваются в интернет. Отсюда я вернулся к изначальному вопросу топика Должен ли работать доступ к удаленному роутеру подключенному через голый ipsec туннель через удаленное подключение VirtualIP с NAT или нет? PS если сохранилась, вечером попробую с 2.08 это проверить. По идее должно все быть нормально, нужно проверить что там такое. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.