adekvatno Posted December 26, 2024 Posted December 26, 2024 Здравствуйте! Есть домаший роутер Keenetic Ultra (KN-1811) с прошивкой 4.2.3. Настроен в режиме роутера, раздаёт вайфай, выпускает клиентов проводных и беспроводных в интернет. Делаю на нём site2site ipsec туннель. На другой стороне туннеля фортигейт. Соединение успешно проходит, туннель поднимается на обе фазы, ошибок по установке фаз нет. Но тут начинается самое интересное. Сеть за фортигейтом большая, активно используются все три диапазона приватных подсетей (192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8), и во второй фазе добавлены все три эти диапазона. Беда в том, что кинетик принадлежит одной из них, 192.168.100.0/24. Видимо, при поднятии туннеля, он решает, что эта сеть у него находится на другой стороне туннеля, и все пакеты в неё шлет в туннель. Во всяком случае, роутер перестаёт пинговаться изнутри, ну и все соединения обрываются. Вебморда и ssh тоже становятся недоступны. Помогает только зайти через мобильный интернет на веб-морду снаружи и выключить туннель. На фортигейтах такие конфигурации работают без проблем, там хоть 0.0.0.0/0 можно во вторую фазу запихнуть, свою собственную локалку он видит и в ней работает. При аналогичных маршрутах, отдаваемых через клиента OpenVPN на этот же кинетик, всё прекрасно работает. Если "порезать" 192.168.0.0/16 на более мелкие подсетки, чтобы 192.168.100.0/24 туда не попадала, то ipsec тоже прекрасно работает. Но это какой-то адский костыль, не хотелось бы им пользоваться. В какую сторону можно порыть, чтобы ipsec заработал? Quote
Le ecureuil Posted December 27, 2024 Posted December 27, 2024 Вам нужно XFRM-интерфейс использовать, и через него уже роутами нарезать. Quote
adekvatno Posted December 31, 2024 Author Posted December 31, 2024 On 12/27/2024 at 12:08 PM, Le ecureuil said: Вам нужно XFRM-интерфейс использовать, и через него уже роутами нарезать. Вполне возможный вариант, согласен. Но я думал, мало ли, феноменальный косяк в логике работы паршивки кинетика обнаружил) 1 Quote
Le ecureuil Posted January 5 Posted January 5 В 31.12.2024 в 13:47, adekvatno сказал: Вполне возможный вариант, согласен. Но я думал, мало ли, феноменальный косяк в логике работы паршивки кинетика обнаружил) Это не то, чтобы проблема, скорее известная деталь реализации. Если поставить удаленным селектором 0.0.0.0/0, то у вас отвалится все. Потому через веб явной возможности это сделать нет. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.