Arthur Posted April 11, 2017 Share Posted April 11, 2017 (edited) Граждане форумчане, ткните меня носом, где что я забыл прописать. Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит. Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где. ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно. Edited April 11, 2017 by Arthur Дополнение Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 11, 2017 Share Posted April 11, 2017 3 часа назад, Arthur сказал: Граждане форумчане, ткните меня носом, где что я забыл прописать. Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит. Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где. ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно. Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них? Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 11, 2017 Author Share Posted April 11, 2017 2 часа назад, Le ecureuil сказал: Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них? Да все верно, каждый роутер является гейтом в своей сети Quote Link to comment Share on other sites More sharing options...
r13 Posted April 11, 2017 Share Posted April 11, 2017 А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 11, 2017 Share Posted April 11, 2017 48 минут назад, Arthur сказал: Да все верно, каждый роутер является гейтом в своей сети У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация. Попробуйте настроить firewall на клиентах. Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 11, 2017 Author Share Posted April 11, 2017 33 минуты назад, r13 сказал: А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля? В том же Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 11, 2017 Author Share Posted April 11, 2017 33 минуты назад, Le ecureuil сказал: У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация. Попробуйте настроить firewall на клиентах. Фаерволл на виндовых клиентах отключен. На счет нат не сильно уверен, но касколько я понимаю нат нужен только для общения из локалки с интернетом. А для локалки в этом нет необходимости. Просто на основном Кинетике также поднят PPTP впн и на нем сидят два подключенных клиента, у них проблем нет, и ничего кроме самой службы настраивать не пришлось.. И пингуется все и в инет ходит через него удаленный клиент. А с айписеком такая беда. Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 11, 2017 Author Share Posted April 11, 2017 Был у меня опыт настройки роутера другой фирмы на прошивке ддврт, так вот там при создании тунеля маршрутизация до нужный подсетей создается , но после отвала и нового подключения ВПН маршруты пропадали, и чтобы восстановить их приходилось писать крон с добавлением по таймеру Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 11, 2017 Author Share Posted April 11, 2017 Просто я о чем подумал, раз пинг идет с гейта, значит маршрут есть, может дело все де в фаере на гейте. Хотел посмотреть на сервере но не нашел в кинетике параметрые фаера для впн туннеля. Были только HOME для всех сетей,и для вафли Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 11, 2017 Share Posted April 11, 2017 Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN. Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 11, 2017 Author Share Posted April 11, 2017 6 минут назад, Le ecureuil сказал: Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN. А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 11, 2017 Share Posted April 11, 2017 1 час назад, Arthur сказал: А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты? По политике, для подробностей гуглите устройство XFRM. Quote Link to comment Share on other sites More sharing options...
Arthur Posted April 12, 2017 Author Share Posted April 12, 2017 Спасибо за советы. Вчера зашел в мониторинг впн смотрю серый, видимо отвалился. Решил ребутнуть оба шлюза, после этого ипсек поднялся и пинги пошли со всех адресов. Но у меня сразу следующий вопросик, на клиенте стоит автореконнект, но судя по всему его не произошло. Как это можно поправить через вебку? Или придется лезть в консоль и писать кроны на проверку подключения? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.