gekm Posted April 24, 2017 Share Posted April 24, 2017 (edited) Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой. 192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16 Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16) Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24. Может ли быть проблема в том, что у omni 2 динамический ip? Либо, вероятнее, в маршрутах? Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway? Edited April 24, 2017 by gekm Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 27, 2017 Share Posted April 27, 2017 В 4/24/2017 в 20:09, gekm сказал: Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой. 192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16 Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16) Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24. Может ли быть проблема в том, что у omni 2 динамический ip? Либо, вероятнее, в маршрутах? Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway? Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально. Quote Link to comment Share on other sites More sharing options...
gekm Posted April 27, 2017 Author Share Posted April 27, 2017 (edited) 5 часов назад, Le ecureuil сказал: Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально. Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan. Edited April 27, 2017 by gekm корректировка Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 28, 2017 Share Posted April 28, 2017 18 часов назад, gekm сказал: Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan. Но на pfsense в качестве ядра используется freebsd, и это в корне меняет дело. Как мы видим, проблем с IKE у вас нет, и соединение устанавливается. Однако прохождение пакетов - это уже забота ядра FreeBSD, PFKEY и pf. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.