Не отображаются маршруты сеть-сеть в списке маршрутов + и вопрос в маршруте клиента

[Joe]

Giga 1010 (4.0.4) - Viva 1910 (3.9.8) настроено Ikev2 подключения сеть—сеть. Работает, сети доступны с двух сторон.

Вопрос 1. В списке "Маршрутизация" на обоих роутерах не отображаются маршруты в сети друг друга. Баг или фича? По факту ведь все работает.

Вопрос 2. Также на Giga настроен virtualIP IKEv2. При подключении клиента к гиге, у него нет доступа к сети Viva (192.168.5.0/24). Как можно вылечить?

Прописал команду

crypto map VirtualIPServerIKE2 virtual-ip dhcp route 192.168.5.0/24

 и вроде бы маршрут на клиенте появляется
 192.168.5.0    255.255.255.0         On-link          10.9.2.2
но доступа к сети 5.0 еще нет

При запуске tracert 192.168.5.1 с клиента - почему то все идет через интернет, и останавливается судя по всему на оборудовании провайдера которое перед домашним роутером. 

  1    57 ms    57 ms    57 ms  91.14.18.45
  2    86 ms    73 ms    78 ms  7.5.2.10
  3    57 ms    57 ms    57 ms  198.18.5.2
  4     *        *        *     Превышен интервал ожидания для запроса.

Изменено 16 сентября, 2023 пользователем Joe

[stefbarinov]

В 16.09.2023 в 12:20, Joe сказал:

Баг или фича?

Начиная с версии KeeneticOS 3.6 маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
где {address} {mask} - адрес и маска соответствующей сети  

[Joe]

1 час назад, stefbarinov сказал:

Начиная с версии KeeneticOS 3.6 маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
где {address} {mask} - адрес и маска соответствующей сети  

Это относится к VirtualIPServerIKE2 а у меня IKEv2 сеть-сеть 

[r13]

В 16.09.2023 в 12:20, Joe сказал:

Вопрос 1. В списке "Маршрутизация" на обоих роутерах не отображаются маршруты в сети друг друга. Баг или фича? По факту ведь все работает.

Чистый ipsec использует политики, маршруты ему не нужны, так что это by design

В 16.09.2023 в 12:20, Joe сказал:

Вопрос 2. Также на Giga настроен virtualIP IKEv2. При подключении клиента к гиге, у него нет доступа к сети Viva (192.168.5.0/24). Как можно вылечить?

Возможно в туннеле сеть-сеть нужно добавить подсеть клиентов virtualIP IKEv2 сервера

[Joe]

1 час назад, r13 сказал:

Чистый ipsec использует политики, маршруты ему не нужны, так что это by design

Возможно в туннеле сеть-сеть нужно добавить подсеть клиентов virtualIP IKEv2 сервера

Насчет вопроса 1 стало яснее, спасибо!

 

По вопросу 2 - попробую..

Но поддержка ответила так:

Дело в том, что IKEv2 сервер в текущей реализации не имеет внутреннего интерфейса, поэтому задание маршрута через ip-адрес, как в случае в другими vpn-серверами невозможно.
 

Т.е. как будто бы клиента VirtualIP нельзя направить в другие сети. Выглядит как то не очень радостно, типа придется вор же отказаться от VirtualIP.. чего не хотелось бы

[stefbarinov]

16 часов назад, Joe сказал:

Это относится к VirtualIPServerIKE2 а у меня IKEv2 сеть-сеть

 

17 часов назад, stefbarinov сказал:

Начиная с версии KeeneticOS 3.6 маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
где {address} {mask} - адрес и маска соответствующей сети

Это взято как раз-таки из статьи про VPN-сервер IKEv2

[Joe]

31 минуту назад, stefbarinov сказал:

Это взято как раз-таки из статьи про VPN-сервер IKEv2

Я понимаю)
Но вы предложили это в цитате на первый вопрос - отображение маршрутов. А отображение никак с IKEv2 VirtualIP не связано - там между роутерами сеть-сеть чистый IPSec. Без VirtualIP.

А если имели в виду, ответ на второй вопрос, то у меня в первом сообщении написано что эта команда не помогает...

Изменено 18 сентября, 2023 пользователем Joe

[Joe]

UPD.
Помогло как ни странно указание в настройках IKEv2 сеть-сеть
На giga, где развернут VirtualIP - указание сети VirtualIP в качестве "локальной сети" (10.9.2.0)
На viva, указание сети VirtualIPсервера в качестве "удаленной".

crypto map VirtualIPServerIKE2 virtual-ip dhcp route 192.168.5.0/24 уже изначально был прописан.

Не знаю нужен или нет, но после этого доступ к сети Viava для клиентов giga Virtual IP появился.

Изменено 18 сентября, 2023 пользователем Joe

[r13]

1 час назад, Joe сказал:

UPD.
Помогло как ни странно указание в настройках IKEv2 сеть-сеть
На giga, где развернут VirtualIP - указание сети VirtualIP в качестве "локальной сети" (10.9.2.0)
На viva, указание сети VirtualIPсервера в качестве "удаленной".

crypto map VirtualIPServerIKE2 virtual-ip dhcp route 192.168.5.0/24 уже изначально был прописан.

Не знаю нужен или нет, но после этого доступ к сети Viava для клиентов giga Virtual IP появился.

Как раз не странно, это о чем я и говорил в посте выше, через site to site ходит строго то что указано в local/remote сетях