Jump to content

Recommended Posts

Posted

Здравствуйте! Есть домаший роутер Keenetic Ultra (KN-1811) с прошивкой 4.2.3. Настроен в режиме роутера, раздаёт вайфай, выпускает клиентов проводных и беспроводных в интернет. Делаю на нём site2site ipsec туннель. На другой стороне туннеля фортигейт. Соединение успешно проходит, туннель поднимается на обе фазы, ошибок по установке фаз нет. Но тут начинается самое интересное. Сеть за фортигейтом большая, активно используются все три диапазона приватных подсетей (192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8), и во второй фазе добавлены все три эти диапазона. Беда в том, что кинетик принадлежит одной из них, 192.168.100.0/24. Видимо, при поднятии туннеля, он решает, что эта сеть у него находится на другой стороне туннеля, и все пакеты в неё шлет в туннель.  Во всяком случае, роутер перестаёт пинговаться изнутри, ну и все соединения обрываются. Вебморда и ssh тоже становятся недоступны. Помогает только зайти через мобильный интернет на веб-морду снаружи и выключить туннель.

На фортигейтах такие конфигурации работают без проблем, там хоть 0.0.0.0/0 можно во вторую фазу запихнуть, свою собственную локалку он видит и в ней работает. 

При аналогичных маршрутах, отдаваемых через клиента OpenVPN на этот же кинетик, всё прекрасно работает. Если "порезать" 192.168.0.0/16 на более мелкие подсетки, чтобы 192.168.100.0/24 туда не попадала, то ipsec тоже прекрасно работает. Но это какой-то адский костыль, не хотелось бы им пользоваться.

В какую сторону можно порыть, чтобы ipsec заработал?

 

Posted
On 12/27/2024 at 12:08 PM, Le ecureuil said:

Вам нужно XFRM-интерфейс использовать, и через него уже роутами нарезать.

Вполне возможный вариант, согласен. Но я думал, мало ли, феноменальный косяк в логике работы паршивки кинетика обнаружил)

  • Y'r wrong 1
Posted
В 31.12.2024 в 13:47, adekvatno сказал:

Вполне возможный вариант, согласен. Но я думал, мало ли, феноменальный косяк в логике работы паршивки кинетика обнаружил)

Это не то, чтобы проблема, скорее известная деталь реализации. Если поставить удаленным селектором 0.0.0.0/0, то у вас отвалится все. Потому через веб явной возможности это сделать нет.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.