поломался роутинг из удаленных подключений в ipsec туннель

[r13]

добрый вечер

Ультра2 v2.09(AAUX.3)A0

При подключении с андройд телефона к  virtualip или pptp серверу не могу попасть на удаленный конец голого ipsec туннеля, судя по трассировке пакеты маршрутизируются в интернет

раньше вроде благодаря нату на этих подключениях все работало... или я заблуждаюсь?

селфтест далее

[KorDen]

(могу ошибаться) Голый IPSec на то и голый IPSec, что не маршрутизируется ни в одну, ни в другую сторону, т.к. использует политики, а не маршрутизацию... А подружить одновременно IPIP/IPSec-"сервер" и VirtualIP-сервер на одном роутере лично у меня пока не получилось - что-то одно да не работает

[r13]

Ну вроде как из-за того что на удаленных подключениях включен нат раньше вроде пакеты на входе транслировались и становились типа локальным трафиком.

[Le ecureuil]

20 часов назад, r13 сказал:

добрый вечер

Ультра2 v2.09(AAUX.3)A0

При подключении с андройд телефона к  virtualip или pptp серверу не могу попасть на удаленный конец голого ipsec туннеля, судя по трассировке пакеты маршрутизируются в интернет

раньше вроде благодаря нату на этих подключениях все работало... или я заблуждаюсь?

селфтест далее

А "удаленный конец" туннелей - это какой именно адрес?

[r13]

@Le ecureuil

Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24

Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера)

Изменено 17 января, 2017 пользователем r13

[Le ecureuil]

40 минут назад, r13 сказал:

@Le ecureuil

Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24

Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера)

Ах вот оно что.

Проверим.

[Le ecureuil]

1 час назад, r13 сказал:

@Le ecureuil

Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24

Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера)

Проверил, NAT работает корректно. Похоже на проблему клиента, который шлет трафик незашифрованным.

На какой последней прошивке точно работало?

[r13]

@Le ecureuil

Работало перед новым годом, значит крайняя 2.08 у меня была.

Да вы правы проверил  трассировкой пакеты с телефона на 192.168.10.1 идут через интернет а не через туннель.

Еще заметил что следующая строчка при коннекте в логе есть только при настройке доступа к Home в VirtualIP

Jan 17 20:57:19   ipsec03[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24 

Ранее для настройки Интернет в VirtualIP тоже была соответствующая строчка в логе. Сейчас она отсутствует.

Полагаю это передача маршрутов клиенту? Видимо это и поломалось.

Изменено 17 января, 2017 пользователем r13

[Le ecureuil]

В 1/17/2017 в 21:07, r13 сказал:

@Le ecureuil

Работало перед новым годом, значит крайняя 2.08 у меня была.

Да вы правы проверил  трассировкой пакеты с телефона на 192.168.10.1 идут через интернет а не через туннель.

Еще заметил что следующая строчка при коннекте в логе есть только при настройке доступа к Home в VirtualIP

Jan 17 20:57:19   ipsec03[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24 

Ранее для настройки Интернет в VirtualIP тоже была соответствующая строчка в логе. Сейчас она отсутствует.

Полагаю это передача маршрутов клиенту? Видимо это и поломалось.

Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP.

[r13]

6 минут назад, Le ecureuil сказал:

Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP.

@Le ecureuil Вы меня не так поняли, при заходе из вне если Virtual IP настроен на сегмент Home sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24, 

а если на сегмент Internet, то никакого sending UNITY_SPLIT_INCLUDE нет вообще.

Не должен ли Virtual IP передавать sending UNITY_SPLIT_INCLUDE 0.0.0.0 в данном случае?

[Le ecureuil]

3 минуты назад, r13 сказал:

@Le ecureuil Вы меня не так поняли, при заходе из вне если Virtual IP настроен на сегмент Home sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24, 

а если на сегмент Internet, то никакого sending UNITY_SPLIT_INCLUDE нет вообще.

Не должен ли Virtual IP передавать sending UNITY_SPLIT_INCLUDE 0.0.0.0 в данном случае?

Надо разобраться, посмотрим.

[r13]

@Le ecureuil Еще более пристально погонял traceroute

Вроде как все существующие маршруты отрабатывают корректно, кроме роутинга в подсети с голым ipsec туннелем эти трассы заварачиваются в интернет.

Отсюда я вернулся к изначальному вопросу топика

Должен ли работать доступ к удаленному роутеру подключенному через голый ipsec туннель через удаленное подключение VirtualIP с NAT или нет?

PS если сохранилась, вечером попробую с 2.08 это проверить.

[r13]

@Le ecureuil Откатился, проверил. Не работает. Видимо приснилось. Так что тема более не актуальна.

Кстати в 2,08 более логично называлось поле выбора сети в настройке VirtualIP по сравнению с 2,09

Было: "Доступ к сети" Стало:"Локальная сеть"

 

[Le ecureuil]

6 часов назад, r13 сказал:

@Le ecureuil Еще более пристально погонял traceroute

Вроде как все существующие маршруты отрабатывают корректно, кроме роутинга в подсети с голым ipsec туннелем эти трассы заварачиваются в интернет.

Отсюда я вернулся к изначальному вопросу топика

Должен ли работать доступ к удаленному роутеру подключенному через голый ipsec туннель через удаленное подключение VirtualIP с NAT или нет?

PS если сохранилась, вечером попробую с 2.08 это проверить.

По идее должно все быть нормально, нужно проверить что там такое.