IPsec Удаленные подсети

[KapJleoHe KapJleoHe]

Добрый день. После появления возможности добавлять подсети во вторую фазу раздела "Удаленные подсети" ничего не изменилось, маршрутизируется первая назначенная подсеть (192.168.20.0), остальные (192.168.30.0) идут через провайдера. В чем смысл?)

KOS 4.0.4

В конфигурации:

traffic-selectors _WEBADMIN_IPSEC_tkl-local _WEBADMIN_IPSEC_tkl-remote

object-group ip _WEBADMIN_IPSEC_tkl-local
    include ip 192.168.10.0/24
object-group ip _WEBADMIN_IPSEC_tkl-remote
    include ip 192.168.20.0/24
    include ip 192.168.30.0/24

[Deadlock]

• Наконец, мы рады представить вариант настройки Множественных подсетей для VPN-соединения IPsec типа "сеть–сеть" в параметрах Фаза 2. Эта функция позволит установить сетевое соединение между несколькими подсетями через VPN-туннель, повысив универсальность вашего интернет-центра." Поддерживаю вопрос, радости не прибавилось. Child SA established действительно как и раньше между подсетями в первой строчке, доп сети не доступны. Ответьте хотя бы, что в процессе....

[SergeyM]

мне в обращении в поддержку номер 150450457 по этому поводу ответили в том духе, что у них между кинетиками все работает, а между другим оборудованием не было возможности проверить.

но таки да, у меня тоже работает только первая подсети.

явный баг.

[Deadlock]

Заходи, я порешал))

 

[MajoR]

Предложенная схема рабочая, но комментарий дал в той теме.

[artaffar]

Столкнулся с невозможностью видеть удалённые подсети через туннель IPsec site-to-site. Схема следующая:

 

Speedster в качестве клиента подключается к Mikrotik через L2TP/IPsec.

С Keenetic Viva не пингуются хосты в сетях 192.168.81.0 и 192.168.82.0. Трассировка обрывается на локальном IP Speedster 192.168.87.1, поэтому делаю вывод, что туннель site-to-site работает как нужно. Настройки туннеля:

 

crypto map выдаёт вот это:

 phase2_sa_list:
                    phase2_sa, index = 0:
                        unique_id: 2
                       request_id: 1
                         sa_state: INSTALLED
                             mode: TUNNEL
                         protocol: ESP
                    encapsulation: yes
                        local_spi: c5a7ed17
                       remote_spi: c07e6a5d
                     ipsec_cypher: esp-des
                       ipsec_hmac: esp-md5-hmac
                   ipsec_dh_group:
                         in_bytes: 356146
                       in_packets: 310
                          in_time: 0
                        out_bytes: 43614
                      out_packets: 195
                         out_time: 0
                       rekey_time: 0
                         local_ts: 192.168.1.0/24
                        remote_ts: 192.168.81.0/24,192.168.82.0/24,192.168.87.0/24

                    state: PHASE2_ESTABLISHED

В Speedster прописаны маршруты, из его локальной сети доступ в сети 81 и 82 есть:

 

 

 

 

 

 

 

Понимаю, что нужно подкрутить настройки на Speedster. Перепробовал уже всё, что можно. В межсетевом экране добавлял разрешающее правило на L2TP-интерфейс подключения к Mikrotik, изменял в CLI тип интерфейса L2TP0 с public на private и protected, отключал функцию isolate, но ничего не помогает. С роутера Viva трассировка к хостам в сетях 81 и 82 обрывается на IP 192.168.87.1 Speedster. Что я делаю не так? Как из подсети 192.168.1.0 увидеть удалённые сети 192.168.81.0 и 192.168.82.0?

Edited March 9 by artaffar