artaffar

Отвечу сам себе. С IPSec site-to-site такая схема работать не будет. Дело в NAT. В итоге соединил Speedster и Viva через Wireguard, прописал нужные подсети и маршруты. После чего перевёл интерфейс Wireguard0 на Speedster в private и включил на нём NAT: interface Wireguard0 security-level private ip nat Wireguard0 system configuration save Теперь из сети 192.168.1.0/24 роутера Viva доступны хосты в подсетях 81 и 82.

Столкнулся с невозможностью видеть удалённые подсети через туннель IPsec site-to-site. Схема следующая: Speedster в качестве клиента подключается к Mikrotik через L2TP/IPsec. С Keenetic Viva не пингуются хосты в сетях 192.168.81.0 и 192.168.82.0. Трассировка обрывается на локальном IP Speedster 192.168.87.1, поэтому делаю вывод, что туннель site-to-site работает как нужно. Настройки туннеля: crypto map выдаёт вот это: phase2_sa_list: phase2_sa, index = 0: unique_id: 2 request_id: 1 sa_state: INSTALLED mode: TUNNEL protocol: ESP encapsulation: yes local_spi: c5a7ed17 remote_spi: c07e6a5d ipsec_cypher: esp-des ipsec_hmac: esp-md5-hmac ipsec_dh_group: in_bytes: 356146 in_packets: 310 in_time: 0 out_bytes: 43614 out_packets: 195 out_time: 0 rekey_time: 0 local_ts: 192.168.1.0/24 remote_ts: 192.168.81.0/24,192.168.82.0/24,192.168.87.0/24 state: PHASE2_ESTABLISHED В Speedster прописаны маршруты, из его локальной сети доступ в сети 81 и 82 есть: По совету поддержки прописывал acl на интерфейсе L2TP0 Speedster, но это не помогло. Также изменял в CLI тип интерфейса L2TP0 с public на private и protected, отключал функцию isolate, но ничего не помогает. С роутера Viva трассировка к хостам в сетях 81 и 82 обрывается на IP 192.168.87.1 Speedster. Делал захват сетевых пакетов, из которого видно, что пакеты доходят до интерфейса L2TP0 Speedster, но дальше no response. На форуме есть как минимум 3 темы с подобными проблемами, когда через туннель доступна только одна подсеть, а подсети за другими интерфейсами - нет. https://forum.keenetic.ru/topic/20319-связать-несколько-удалённых-подсетей-по-wireguard/ https://forum.keenetic.ru/topic/20279-доступ-vpn-клиента-к-ресурсам-объединенной-сети/ https://forum.keenetic.ru/topic/20292-соединение-wireguard-и-ipsec-vpn-типа-сеть—сеть/ Делаю вывод, что причина в логике работы работы KeeneticOS с интерфейсами. ОС блокирует пакеты на интерфейс, если они идут не из локальной сети, а из другого туннеля. Поддержка в итоге отфутболила и теперь молчит. Помогите, пожалуйста. Считаю, это баг. capture-L2TP0-Mar 13 09-19-50.pcapng

Пока ничего не сделать, к сожалению. Общаюсь с поддержкой на такую же тему, но только одна из удалённых сетей за интерфейсом L2TP. KeeneticOS блокирует транзитную маршрутизацию на интерфейс извне. Перевод в private не помогает, как и прописывание acl. При анализе захваченных пакетов через Wireshark видно, что пакеты до нужного интерфейса доходят, но дальше только no response. Надеюсь, что исправят этот баг, а иначе на микротик придётся переходить.

Судя по всему, нет. Сам сейчас бьюсь с похожей задачей, но только через туннели IPsec и L2TP. Общаюсь с поддержкой. Как я понял, KeeneticOS попросту запрещает транзитную маршрутизацию в удалённые подсети. Т.е. пакеты на нужный интерфейс приходят, но дальше только no response. Причём никакие правила межсетевого экрана и создание acl не помогают. Надеюсь, исправят эту недоработку, а то на микротик придётся переходить.

Столкнулся с невозможностью видеть удалённые подсети через туннель IPsec site-to-site. Схема следующая: Speedster в качестве клиента подключается к Mikrotik через L2TP/IPsec. С Keenetic Viva не пингуются хосты в сетях 192.168.81.0 и 192.168.82.0. Трассировка обрывается на локальном IP Speedster 192.168.87.1, поэтому делаю вывод, что туннель site-to-site работает как нужно. Настройки туннеля: crypto map выдаёт вот это: phase2_sa_list: phase2_sa, index = 0: unique_id: 2 request_id: 1 sa_state: INSTALLED mode: TUNNEL protocol: ESP encapsulation: yes local_spi: c5a7ed17 remote_spi: c07e6a5d ipsec_cypher: esp-des ipsec_hmac: esp-md5-hmac ipsec_dh_group: in_bytes: 356146 in_packets: 310 in_time: 0 out_bytes: 43614 out_packets: 195 out_time: 0 rekey_time: 0 local_ts: 192.168.1.0/24 remote_ts: 192.168.81.0/24,192.168.82.0/24,192.168.87.0/24 state: PHASE2_ESTABLISHED В Speedster прописаны маршруты, из его локальной сети доступ в сети 81 и 82 есть: Понимаю, что нужно подкрутить настройки на Speedster. Перепробовал уже всё, что можно. В межсетевом экране добавлял разрешающее правило на L2TP-интерфейс подключения к Mikrotik, изменял в CLI тип интерфейса L2TP0 с public на private и protected, отключал функцию isolate, но ничего не помогает. С роутера Viva трассировка к хостам в сетях 81 и 82 обрывается на IP 192.168.87.1 Speedster. Что я делаю не так? Как из подсети 192.168.1.0 увидеть удалённые сети 192.168.81.0 и 192.168.82.0?

Проблема с ограничением скорости до 5 Мбит так и не решена. Судя по логу, причина в переходе модема в медленный режим USB 1.1: [I] Feb 9 15:14:23 kernel: usb 1-1: new high-speed USB device number 81 using ehci-platform [E] Feb 9 15:14:24 kernel: usb 1-1: device not accepting address 81, error -71 [E] Feb 9 15:14:24 kernel: usb usb1-port1: unable to enumerate USB device [I] Feb 9 15:14:24 kernel: usb 2-1: new full-speed USB device number 21 using ohci-platform [I] Feb 9 15:14:24 kernel: usb 2-1: not running at top speed; connect to a high speed hub В устройствах видно, что модем подключается со SPD=12 T: Bus=02 Lev=00 Prnt=00 Port=00 Cnt=00 Dev#= 1 Spd=12 MxCh= 1 B: Alloc= 8/900 us ( 1%), #Int= 1, #Iso= 0 D: Ver= 1.10 Cls=09(hub ) Sub=00 Prot=00 MxPS=64 #Cfgs= 1 P: Vendor=1d6b ProdID=0001 Rev= 4.09 S: Manufacturer=Linux 4.9-ndm-5 ohci_hcd S: Product=Generic Platform OHCI controller S: SerialNumber=ohci-platform C:* #Ifs= 1 Cfg#= 1 Atr=e0 MxPwr= 0mA I:* If#= 0 Alt= 0 #EPs= 1 Cls=09(hub ) Sub=00 Prot=00 Driver=hub E: Ad=81(I) Atr=03(Int.) MxPS= 2 Ivl=255ms Роутер KN-1212, прошивка последняя 4.2.6. В режиме моста скорость такая же - 5 Мбит. Напрямую от компьютера модем работает прекрасно с максимально доступной скоростью от оператора. Что делать? Покупать другой модем/роутер или ждать исправлений от разработчиков Keenetic?