Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

S2S ipsec и сети во второй фазе

adekvatno
 Поделиться

Рекомендуемые сообщения

adekvatno Новичок

adekvatno

Опубликовано
Опубликовано

Здравствуйте! Есть домаший роутер Keenetic Ultra (KN-1811) с прошивкой 4.2.3. Настроен в режиме роутера, раздаёт вайфай, выпускает клиентов проводных и беспроводных в интернет. Делаю на нём site2site ipsec туннель. На другой стороне туннеля фортигейт. Соединение успешно проходит, туннель поднимается на обе фазы, ошибок по установке фаз нет. Но тут начинается самое интересное. Сеть за фортигейтом большая, активно используются все три диапазона приватных подсетей (192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8), и во второй фазе добавлены все три эти диапазона. Беда в том, что кинетик принадлежит одной из них, 192.168.100.0/24. Видимо, при поднятии туннеля, он решает, что эта сеть у него находится на другой стороне туннеля, и все пакеты в неё шлет в туннель.  Во всяком случае, роутер перестаёт пинговаться изнутри, ну и все соединения обрываются. Вебморда и ssh тоже становятся недоступны. Помогает только зайти через мобильный интернет на веб-морду снаружи и выключить туннель.

На фортигейтах такие конфигурации работают без проблем, там хоть 0.0.0.0/0 можно во вторую фазу запихнуть, свою собственную локалку он видит и в ней работает. 

При аналогичных маршрутах, отдаваемых через клиента OpenVPN на этот же кинетик, всё прекрасно работает. Если "порезать" 192.168.0.0/16 на более мелкие подсетки, чтобы 192.168.100.0/24 туда не попадала, то ipsec тоже прекрасно работает. Но это какой-то адский костыль, не хотелось бы им пользоваться.

В какую сторону можно порыть, чтобы ipsec заработал?

 

adekvatno Новичок

adekvatno

Опубликовано
  • Автор
Опубликовано
On 12/27/2024 at 12:08 PM, Le ecureuil said:

Вам нужно XFRM-интерфейс использовать, и через него уже роутами нарезать.

Вполне возможный вариант, согласен. Но я думал, мало ли, феноменальный косяк в логике работы паршивки кинетика обнаружил)

  • Не согласен 1
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
В 31.12.2024 в 13:47, adekvatno сказал:

Вполне возможный вариант, согласен. Но я думал, мало ли, феноменальный косяк в логике работы паршивки кинетика обнаружил)

Это не то, чтобы проблема, скорее известная деталь реализации. Если поставить удаленным селектором 0.0.0.0/0, то у вас отвалится все. Потому через веб явной возможности это сделать нет.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю