Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

поломался роутинг из удаленных подключений в ipsec туннель

r13
 Share

Recommended Posts

r13 Honored Flooder

r13

Posted
Posted

добрый вечер

Ультра2 v2.09(AAUX.3)A0

При подключении с андройд телефона к  virtualip или pptp серверу не могу попасть на удаленный конец голого ipsec туннеля, судя по трассировке пакеты маршрутизируются в интернет

раньше вроде благодаря нату на этих подключениях все работало... или я заблуждаюсь?

селфтест далее

KorDen Honored Flooder

KorDen

Posted
Posted

(могу ошибаться) Голый IPSec на то и голый IPSec, что не маршрутизируется ни в одну, ни в другую сторону, т.к. использует политики, а не маршрутизацию... А подружить одновременно IPIP/IPSec-"сервер" и VirtualIP-сервер на одном роутере лично у меня пока не получилось - что-то одно да не работает

r13 Honored Flooder

r13

Posted
  • Author
Posted

Ну вроде как из-за того что на удаленных подключениях включен нат раньше вроде пакеты на входе транслировались и становились типа локальным трафиком.

Le ecureuil NetFriend

Le ecureuil

Posted
Posted
20 часов назад, r13 сказал:

добрый вечер

Ультра2 v2.09(AAUX.3)A0

При подключении с андройд телефона к  virtualip или pptp серверу не могу попасть на удаленный конец голого ipsec туннеля, судя по трассировке пакеты маршрутизируются в интернет

раньше вроде благодаря нату на этих подключениях все работало... или я заблуждаюсь?

селфтест далее

А "удаленный конец" туннелей - это какой именно адрес?

r13 Honored Flooder

r13

Posted
  • Author
Posted (edited)

@Le ecureuil

Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24

Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера)

Edited by r13
Le ecureuil NetFriend

Le ecureuil

Posted
Posted
40 минут назад, r13 сказал:

@Le ecureuil

Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24

Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера)

Ах вот оно что.

Проверим.

Le ecureuil NetFriend

Le ecureuil

Posted
Posted
1 час назад, r13 сказал:

@Le ecureuil

Натянут IPSec туннель между 192.168.1.0/24 и 192.168.10.0/24

Подключаюсь по virtualip к 192.168.1.1 и пытаюсь залезть на 192.168.10.1(адрес удаленного роутера)

Проверил, NAT работает корректно. Похоже на проблему клиента, который шлет трафик незашифрованным.

На какой последней прошивке точно работало?

r13 Honored Flooder

r13

Posted
  • Author
Posted (edited)

@Le ecureuil

Работало перед новым годом, значит крайняя 2.08 у меня была.

Да вы правы проверил  трассировкой пакеты с телефона на 192.168.10.1 идут через интернет а не через туннель.

Еще заметил что следующая строчка при коннекте в логе есть только при настройке доступа к Home в VirtualIP 

Jan 17 20:57:19   ipsec03[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24

Ранее для настройки Интернет в VirtualIP тоже была соответствующая строчка в логе. Сейчас она отсутствует.

Полагаю это передача маршрутов клиенту? Видимо это и поломалось.

Edited by r13
Le ecureuil NetFriend

Le ecureuil

Posted
Posted
В 1/17/2017 в 21:07, r13 сказал:

@Le ecureuil

Работало перед новым годом, значит крайняя 2.08 у меня была.

Да вы правы проверил  трассировкой пакеты с телефона на 192.168.10.1 идут через интернет а не через туннель.

Еще заметил что следующая строчка при коннекте в логе есть только при настройке доступа к Home в VirtualIP 


Jan 17 20:57:19   ipsec03[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24

Ранее для настройки Интернет в VirtualIP тоже была соответствующая строчка в логе. Сейчас она отсутствует.

Полагаю это передача маршрутов клиенту? Видимо это и поломалось.

Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP.

r13 Honored Flooder

r13

Posted
  • Author
Posted
6 минут назад, Le ecureuil сказал:

Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP.

@Le ecureuil Вы меня не так поняли, при заходе из вне если Virtual IP настроен на сегмент Home sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24, 

а если на сегмент Internet, то никакого sending UNITY_SPLIT_INCLUDE нет вообще.

Не должен ли Virtual IP передавать sending UNITY_SPLIT_INCLUDE 0.0.0.0 в данном случае?

Le ecureuil NetFriend

Le ecureuil

Posted
Posted
3 минуты назад, r13 сказал:

@Le ecureuil Вы меня не так поняли, при заходе из вне если Virtual IP настроен на сегмент Home sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24, 

а если на сегмент Internet, то никакого sending UNITY_SPLIT_INCLUDE нет вообще.

Не должен ли Virtual IP передавать sending UNITY_SPLIT_INCLUDE 0.0.0.0 в данном случае?

Надо разобраться, посмотрим.

r13 Honored Flooder

r13

Posted
  • Author
Posted

@Le ecureuil Еще более пристально погонял traceroute

Вроде как все существующие маршруты отрабатывают корректно, кроме роутинга в подсети с голым ipsec туннелем эти трассы заварачиваются в интернет.

Отсюда я вернулся к изначальному вопросу топика

Должен ли работать доступ к удаленному роутеру подключенному через голый ipsec туннель через удаленное подключение VirtualIP с NAT или нет?

PS если сохранилась, вечером попробую с 2.08 это проверить.

r13 Honored Flooder

r13

Posted
  • Author
Posted

@Le ecureuil Откатился, проверил. Не работает. Видимо приснилось. Так что тема более не актуальна.

Кстати в 2,08 более логично называлось поле выбора сети в настройке VirtualIP по сравнению с 2,09

Было: "Доступ к сети" Стало:"Локальная сеть"

 

Le ecureuil NetFriend

Le ecureuil

Posted
Posted
6 часов назад, r13 сказал:

@Le ecureuil Еще более пристально погонял traceroute

Вроде как все существующие маршруты отрабатывают корректно, кроме роутинга в подсети с голым ipsec туннелем эти трассы заварачиваются в интернет.

Отсюда я вернулся к изначальному вопросу топика

Должен ли работать доступ к удаленному роутеру подключенному через голый ipsec туннель через удаленное подключение VirtualIP с NAT или нет?

PS если сохранилась, вечером попробую с 2.08 это проверить.

По идее должно все быть нормально, нужно проверить что там такое.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept