Jump to content

IPSEC между двумя Ultra 2 не пингуется


Recommended Posts

Граждане форумчане, ткните меня носом, где что я забыл прописать.

Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит.

Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где.

ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно.

 

Edited by Arthur
Дополнение
Link to comment
Share on other sites

3 часа назад, Arthur сказал:

Граждане форумчане, ткните меня носом, где что я забыл прописать.

Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит.

Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где.

ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно.

 

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Да все верно, каждый роутер является гейтом в своей сети

Link to comment
Share on other sites

А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля?

Link to comment
Share on other sites

48 минут назад, Arthur сказал:

Да все верно, каждый роутер является гейтом в своей сети

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация.

Попробуйте настроить firewall на клиентах.

Link to comment
Share on other sites

33 минуты назад, r13 сказал:

А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля?

В том же

Link to comment
Share on other sites

33 минуты назад, Le ecureuil сказал:

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация.

Попробуйте настроить firewall на клиентах.

Фаерволл на виндовых клиентах отключен. На счет нат не сильно уверен, но касколько я понимаю нат нужен только для общения из локалки с интернетом. А для локалки в этом нет необходимости.

Просто на основном Кинетике также поднят PPTP впн и на нем сидят два подключенных клиента, у них проблем нет, и ничего кроме самой службы настраивать не пришлось.. И пингуется все и в инет ходит через него удаленный клиент. А с айписеком такая беда.

Link to comment
Share on other sites

Был у меня опыт настройки роутера другой фирмы на прошивке ддврт, так вот там при создании тунеля маршрутизация до нужный подсетей создается , но после отвала и нового подключения ВПН маршруты пропадали, и чтобы восстановить их приходилось писать крон с добавлением по таймеру

Link to comment
Share on other sites

Просто я о чем подумал, раз пинг идет с гейта, значит маршрут есть, может дело все де в фаере на гейте. Хотел посмотреть на сервере но не нашел в кинетике параметрые фаера для впн туннеля. Были только HOME для всех сетей,и для вафли

Link to comment
Share on other sites

6 минут назад, Le ecureuil сказал:

Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN.

А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты?

Link to comment
Share on other sites

1 час назад, Arthur сказал:

А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты?

По политике, для подробностей гуглите устройство XFRM.

Link to comment
Share on other sites

Спасибо за советы. Вчера зашел в мониторинг впн смотрю серый, видимо отвалился. Решил ребутнуть оба шлюза, после этого ипсек поднялся и пинги пошли со всех адресов.

Но у меня сразу следующий вопросик, на клиенте стоит автореконнект, но судя по всему его не произошло. Как это можно поправить через вебку? Или придется лезть в консоль и писать кроны на проверку подключения?

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...