Jump to content

IPSec VPN странное себя ведет при 2 и более соединениях с "Ожидать подключение от удаленного пира"


Recommended Posts

Доброго.

Есть Гига 3, которая собирает на себе IPSec VPNs, есть 2 Лайт3 с белыми дин IP (IPoE)

Соответсвенно на Гига3 выбрано у обоих тоннелей: Ожидать подключение от удаленного пира.

На обоих лайтах впн подымается и горит зеленым.

На гиге "первое" соединение горит зеленым и работает, "второе" горит красным, но по факту пинг есть c потерями с постоянными вклиниваниями Destination Unreachable. 

Везде 2.10.C.1.0-0

Ну и да, при установке галки Ожидать подключение от удаленного пира у меня нет возможности указать идентификатор удаленного шлюза, встает Any.

Настройки 1 и 2 фазы одинаковые везде, тоннельный режим. ключи пробовал одинаковые и менять для разных пар ВПН соединений - результат одинаков.

пс: пишу по памяти, выбили статический IP на одной из точек.

""

Link to comment
Share on other sites

Уже сто раз обсуждалось, но давайте подведу вам чеклист того, что нужно сделать в порядке убывания степени важности:

 - если есть возможность, используйте только IKEv2 со строковыми уникальными идентификаторами Email/DN/FQDN. Никаких IKEv1, о нем стоит забыть, если только не стоит цель в совместимости с другими пирами, которые невозможно перенастроить / обновить.

 - если есть возможность, не настраивайте другие IPsec-сервисы (даже клиентские) на этих марштуризаторах - чем больше вы их "навесите", тем сложнее вам будет разгребать проблемы с совместимостью.

 - если есть возможность, ставьте 2.12.

По результату будем смотреть.

Link to comment
Share on other sites

Я понял, я больше не буду засорять форум своими проблемами с IPSec.

Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V

По теме:

-приходится использовать ikev1

-кроме site-to-site Ipsec никак не используется больше.

- число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать.

 

На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио.

Изучим, подумаем, запланируем переход. Спасибо.

 

 

Link to comment
Share on other sites

58 минут назад, kersantinov сказал:

Я понял, я больше не буду засорять форум своими проблемами с IPSec.

Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V

По теме:

-приходится использовать ikev1

-кроме site-to-site Ipsec никак не используется больше.

- число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать.

 

На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио.

Изучим, подумаем, запланируем переход. Спасибо.

 

 

Если у вас такая необходимость в IKEv1, то вам придется перейти на IP-адреса в качестве идентификаторов, если вы хотите принимать сразу несколько туннелей с разными настройками.

А вообще неплохо бы и self-test с описанием в какое время что делалось, а то гадание на воде к хорошему не приводит.

Link to comment
Share on other sites

Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP.

Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)

Edited by kersantinov
Link to comment
Share on other sites

40 минут назад, kersantinov сказал:

Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP.

Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)

Ломать не стоит, но если еще будут какие-либо вопросы - сразу снимайте self-test и сюда, здесь разберемся уже нужен он был или нет.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...