Как подружить Keenetic с Fortigate (VPN IPsec)

[Camrondja]

Доброго времени суток всем! 

Кто ни будь пытался как то организовать подключение к VPN серверу другого производителя ? будь то Fortigate или RouterOS ? 

Проблема такая! 
Есть Fortigate -100D хорошая железка , на нём был создан VPN туннель и вся прочая маршрутизация , правила в файрволе и т.д , на этом уровне всё хорошо и точно знаем что проблем нет. 
Так же есть Keenetic Peak KN-2710 - этот персонаж подключается к туннелю , статус подключено . Но маршрутизация никак не работает , чтобы мы не создавали  , какие бы маршруты мы не делали , пинги никуда не гуляют . (Во всех возможных интерфейсах правила на TCP , UDP , ICMP включены на all2all ..
Роутер просто напрочь отказывается настроить маршруты.. 

Аналогичная схема работает со всеми другими роутерами.. 

Пробовали подключение - Site to site , VPN подключение - l2tp\ipsec в обоих случаях статус "подключено"  но маршрутов нет.. 

Также за Fortigate в сторону Keenetic нет маршрута.. 

Если начать пинг на внешний адрес из локального адреса за Fortigate , то он работает только если отключено VPN подключение))) .. 

Вот каким образом VPN подключение - даже без маршрутизации может влиять на внешний адрес ? 

Я так понял что он по умолчанию создаёт маршрут между сетью "А" и "Б"  

Помогите разобраться пожалуйста.. 
 

[Le ecureuil]

Покажите self-test.

Вполне возможно что у вас в Site-to-Site такие широкие селекторы, что вы вообще весь трафик блокируете.

[Le ecureuil]

Выглядит все нормально.

[Camrondja]

Спасибо за ответ! 😃 , В том то и дело что оно реально выглядит нормально , но по факту трафик не ходит никуда.. 

Я уже грешу на провайдер , может они блочат. 

Так или иначе спасибо вам , мы хотя бы уверены что делаем +- всё верно. 

[SySOPik]

Странно, фортики очень хорошие устройства, для корпоратива вообще супер (учитывая что там есть IPS, веб защита, антивир, контроль приложений - то чего нет в Кинетах), правда цена подороже будет. Да и поддержка у регионального партнера, если купил много девайсов куда более приоритетная, а не как у кинетика норматив 3 рабочих дня, даже если у тебя под 60 + девайсов в проекте.

48 минут назад, Camrondja сказал:

Я уже грешу на провайдер , может они блочат.

Тогда навряд в статусе писало б подключено. А с другого провайдера запустить тестово?

PS. Форт 40F с сисько, микротом и джунипером работают с  VPN нормально.

Изменено 28 марта пользователем SySOPik

[Camrondja]

1 час назад, SySOPik сказал:

Странно, фортики очень хорошие устройства, для корпоратива вообще супер (учитывая что там есть IPS, веб защита, антивир, контроль приложений - то чего нет в Кинетах), правда цена подороже будет. Да и поддержка у регионального партнера, если купил много девайсов куда более приоритетная, а не как у кинетика норматив 3 рабочих дня, даже если у тебя под 60 + девайсов в проекте.

Тогда навряд в статусе писало б подключено. А с другого провайдера запустить тестово?

PS. Форт 40F с сисько, микротом и джунипером работают с  VPN нормально.

Да мы с форти уже давно на "ТЫ" , мы точно знаем что проблема не на стороне форти , так как все остальные туннели работают на ура , даже с домашнем TP link удалось как то протестировать.. 

Вот Keenetic дал прикурить нам и я прям чую что проблемка где то рядом. Просто если бы проблема был с маршрутами , то зачастую это с одной стороны есть с другой нет.. А тут с обоих концов тишина.. 

[Camrondja]

Коллеги вопрос закрыт. 

Решили по методу подключения IPSec , но с пред настройками на Cisco. 

После этого всё завелось и пингуется  (без каких либо настроек Firewall , и маршрутизации) 

[SySOPik]

А какие до того использовались настройки шифрования фаз?

[Camrondja]

AES 128 - AES-256
SHA256 - SHA5112

Это то что выдавало от форти по шаблону , для кастомных устройств.. 

[SySOPik]

Странно. AES 128 / SHA256 довольно стандартно. Скорей проблема в группе дифф-хельмана.