kersantinov Posted February 15, 2018 Share Posted February 15, 2018 Доброго. Есть Гига 3, которая собирает на себе IPSec VPNs, есть 2 Лайт3 с белыми дин IP (IPoE) Соответсвенно на Гига3 выбрано у обоих тоннелей: Ожидать подключение от удаленного пира. На обоих лайтах впн подымается и горит зеленым. На гиге "первое" соединение горит зеленым и работает, "второе" горит красным, но по факту пинг есть c потерями с постоянными вклиниваниями Destination Unreachable. Везде 2.10.C.1.0-0 Ну и да, при установке галки Ожидать подключение от удаленного пира у меня нет возможности указать идентификатор удаленного шлюза, встает Any. Настройки 1 и 2 фазы одинаковые везде, тоннельный режим. ключи пробовал одинаковые и менять для разных пар ВПН соединений - результат одинаков. пс: пишу по памяти, выбили статический IP на одной из точек. "" Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 15, 2018 Share Posted February 15, 2018 Уже сто раз обсуждалось, но давайте подведу вам чеклист того, что нужно сделать в порядке убывания степени важности: - если есть возможность, используйте только IKEv2 со строковыми уникальными идентификаторами Email/DN/FQDN. Никаких IKEv1, о нем стоит забыть, если только не стоит цель в совместимости с другими пирами, которые невозможно перенастроить / обновить. - если есть возможность, не настраивайте другие IPsec-сервисы (даже клиентские) на этих марштуризаторах - чем больше вы их "навесите", тем сложнее вам будет разгребать проблемы с совместимостью. - если есть возможность, ставьте 2.12. По результату будем смотреть. Quote Link to comment Share on other sites More sharing options...
kersantinov Posted February 15, 2018 Author Share Posted February 15, 2018 Я понял, я больше не буду засорять форум своими проблемами с IPSec. Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V По теме: -приходится использовать ikev1 -кроме site-to-site Ipsec никак не используется больше. - число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать. На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио. Изучим, подумаем, запланируем переход. Спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 15, 2018 Share Posted February 15, 2018 58 минут назад, kersantinov сказал: Я понял, я больше не буду засорять форум своими проблемами с IPSec. Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V По теме: -приходится использовать ikev1 -кроме site-to-site Ipsec никак не используется больше. - число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать. На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио. Изучим, подумаем, запланируем переход. Спасибо. Если у вас такая необходимость в IKEv1, то вам придется перейти на IP-адреса в качестве идентификаторов, если вы хотите принимать сразу несколько туннелей с разными настройками. А вообще неплохо бы и self-test с описанием в какое время что делалось, а то гадание на воде к хорошему не приводит. Quote Link to comment Share on other sites More sharing options...
kersantinov Posted February 15, 2018 Author Share Posted February 15, 2018 (edited) Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP. Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить) Edited February 15, 2018 by kersantinov Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 15, 2018 Share Posted February 15, 2018 40 минут назад, kersantinov сказал: Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP. Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить) Ломать не стоит, но если еще будут какие-либо вопросы - сразу снимайте self-test и сюда, здесь разберемся уже нужен он был или нет. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.