Не работает IPsec если установленно запрещающее правило.

[PASPARTU]

Всех приветствую, в общем проблема такая , если установить запрещающее правило на все и всех то Iphone не подключается к VPN вообще или подключается но без доступа к локалке и интернету.При этом 2 других клиента спокойно подключаются и видят локалку. Версия ОС 3.6.2

Изменено 11 апреля, 2021 пользователем PASPARTU

[Le ecureuil]

Что за другие клиенты? Какой конкретно протокол используется во всех трех?

[PASPARTU]

1 минуту назад, Le ecureuil сказал:

Что за другие клиенты? Какой конкретно протокол используется во всех трех?

172.16.203.67(KN-1310) и 172.16.212.115(Lite 3 rev.b) используют L2TP/IPSEC Конект с ними не разывается , доступ к их сетям сохраняется , а вот с Iphone SE подключится по L2TP/IPSEC ИЛИ "VPN-сервер IPsec (Virtual IP)" не возможно или подключение происходит но без доступа к интернету и локальной сети.

[Le ecureuil]

Попробуйте mtu уменьшить на сервере до 1280 скажем.

[PASPARTU]

17 минут назад, Le ecureuil сказал:

Попробуйте mtu уменьшить на сервере до 1280 скажем.

А как это поможет если когда правило не работает то подключение с Iphone проходит успешно?Mtu конечно попробую уменьшить.

[PASPARTU]

47 минут назад, Le ecureuil сказал:

Попробуйте mtu уменьшить на сервере до 1280 скажем.

(config)> interface L2TP ip mtu 1280
Network::Interface::Base error[6553609]: unable to find L2TP as "Network::Interface::Base".
(config)>

 

где менять для "VPN-сервер IPsec (Virtual IP)" не нашел.

[Werld]

21 час назад, PASPARTU сказал:

Всех приветствую, в общем проблема такая , если установить запрещающее правило на все и всех то Iphone не подключается к VPN вообще или подключается но без доступа к локалке и интернету.При этом 2 других клиента спокойно подключаются и видят локалку. Версия ОС 3.6.2 

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135? 

[Werld]

13 часа назад, PASPARTU сказал:

(config)> interface L2TP ip mtu 1280
Network::Interface::Base error[6553609]: unable to find L2TP as "Network::Interface::Base".
(config)>

 

где менять для "VPN-сервер IPsec (Virtual IP)" не нашел.

crypto map l2tp-server mtu  - Установить значение MTU, которое будет передано L2TP серверу

Для Virtual IP VPN-сервера по идее: crypto ipsec mtu

[PASPARTU]

2 часа назад, werldmgn сказал:

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135? 

IPhone не имеет статистического IP потому перед запрещаюем правилом , разрешен IPsec и L2TP.

[Werld]

3 минуты назад, PASPARTU сказал:

IPhone не имеет статистического IP потому перед запрещаюем правилом , разрешен IPsec и L2TP.

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу? 

[PASPARTU]

8 минут назад, werldmgn сказал:

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу? 

Хмм.... проверил , реально подключается и имеет доступ в обе стороны только 172.16.212.115 - этим клиентом у нас общий коммутатор у провайдера, а вот 172.16.203.67 не подключается хотя лог говорит об обратном,

[Le ecureuil]

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

[PASPARTU]

2 минуты назад, Le ecureuil сказал:

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

А как проверить проходить или не проходит?

[Werld]

55 минут назад, PASPARTU сказал:

Хмм.... проверил , реально подключается и имеет доступ в обе стороны только 172.16.212.115 - этим клиентом у нас общий коммутатор у провайдера, а вот 172.16.203.67 не подключается хотя лог говорит об обратном,

Я веду к тому, что видимо недостаточно только того, что вы разрешили, хотя на первый взгляд и не могу сказать чего не хватает. Вообще смысла в ваших правилах нет. Безопасности они не прибавили от слова совсем. В межсетевом экране по умолчанию созданы нужные разрешения для работы нужных впн-серверов, а в конце стоит дроп всего, что не разрешено. Своими правилами Вы по сути пытаетесь дублировать этот функционал.

[PASPARTU]

1 час назад, Le ecureuil сказал:

А у вас там ESP-то проходит вообще? Похоже на непроходимость у провайдера.

Можете через force encaps попробовать зафорсировать.

force encaps не помог.

[Le ecureuil]

В 12.04.2021 в 14:21, PASPARTU сказал:

force encaps не помог.

А не покажете self-test? В моем тесте не воспроизвелось.