VPN-сервер IKEv2/IPsec маршрутизация

Lexm434 · 18 февраля

Привет всем! Не могу настроить нормально маршрутизацию сервера IKEv2/IPsec на своей ультра.

Какая суть:

Поднят VPN-сервер IKEv2/IPsec на Keenetic Ultra.

Конфиг сервера: начальный IP 175.20.20.1, пул IP-адресов 100, DNS-сервера 78.47.125.180, NAT для клиентов — стоит галка.

Создан пользователь usertest с IP 175.20.20.2.

KeenDNS активирован — прямой доступ.

Внутренняя локальная сеть 192.168.0.0.

Подключаюсь к VPN-серверу своему, всё ОК, но во внутреннюю сеть не пускает, пинга нет (у клиента выкл галку «Использовать интернет с сервера»). А если на клиенте добавить маршрут — route add 192.168.0.0 mask 255.255.255.0 170.20.20.2, всё ОК, пинг работает.

Я так понимаю, что-то с маршрутизацией, «Кинетик» не передает маршруты клиенту почему-то, хотя во всех мануалах должен передавать во внутреннюю сеть. Подскажите, куда копать? Мне нужно, чтоб клиенты автоматом получали маршруты до моих внутренних сетей.

DeniDoman · 8 июня

Аналогичная проблема.

Поднял IKEv2 сервер на роутере (4.3.3, на стабильной тоже пробовал), подключение с MacOS 15.5 проходит успешно, могу зайти в WebUI по IP роутера.

Но при этом макбук не может достучаться до сервера в локальной сети:

❯ ping 192.168.1.3
PING 192.168.1.3 (192.168.1.3): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3

А сам кинетик может (на страничке с диагностикой пинги ходят).

Static route создается, но, видимо, что-то идет не так

172.30.8.1/32

0.0.0.0

IKEV2VPN

Vladshee · 13 июня

Это баг в 5.3.3, он соединяется, но при этом сети нет

DeniDoman · 17 июня

Проблема не в РКН, моя проблема воспроизводится в Нидерландах (здесь и роутер, и домашний сервер, и я).

KeenTaur · 18 июня

"Весёлое" для IKEv2/IPsec сервера получилось обновление с 4.2.6.3 на 4.3.2 У кого-то сервер вообще удалило, у кого-то трафик не ходит. Мне повезло, сервер остался на месте, но перестали передаваться маршруты в дополнительные сегменты. Дождался 4.3.3, но ничего не изменилось - в домашнюю сеть трафик ходит, в дополнительные сегменты нет (маршруты не передаются, хотя в конфиге они есть). Если не клиенте маршруты прописать вручную или разрешить "Использовать основной шлюз в удаленной сети", то работает.

"crypto map VirtualIPServerIKE2",
...
"    virtual-ip dhcp route 192.168.1.0 255.255.255.0",
...

192.168.1.0/24 это у меня в дополнительном сегменте. В Домашнем другая адресация.

Но выплыла и еще одна проблема, обнаружил, что минут через 20 вообще весь трафик перестает ходить, хотя само соединение не разрывается.

В телеграм-бот поддержки обратился пару дней назад (16 числа), отправил self-test. Ответа пока, увы, нет.

KeenTaur · 19 июня

В 18.06.2025 в 09:06, KeenTaur сказал:

В телеграм-бот поддержки обратился пару дней назад (16 числа), отправил self-test. Ответа пока, увы, нет.

Сегодня ответили, что надо подождать 4.3.4, которая должна выйти на днях. Правда, по поводу получения маршрутов клиентом как-то уклончиво, что надо будет посмотреть после обновления. Ну, подождем-посмотрим.

Мухожук · 23 июня

В 19.06.2025 в 16:27, KeenTaur сказал:

Сегодня ответили, что надо подождать 4.3.4, которая должна выйти на днях. Правда, по поводу получения маршрутов клиентом как-то уклончиво, что надо будет посмотреть после обновления. Ну, подождем-посмотрим.

Столкнулся с этой же проблемой. Так же обновился с 4.2.6.3 на 4.3.2 - исчез IKEv2/IPsec сервер вообще. Доустановил модуль - подцепились настройки, но исчезла маршрутизация в домашнюю (!) сеть. Дополнительных нет. Откатил до 4.2.6.3, дождался 4.3.3, обновил - та же картина но уже без исчезновения сервера. Прописывал маршрут virtual-ip dhcp route. Как и у вас результат нулевой. Откатил. Спасибо за инфу про обещания пофиксить в 4.3.4

Avrok · 29 июня

В 18.02.2025 в 12:42, Lexm434 сказал:

«Кинетик» не передает маршруты клиенту почему-то, хотя во всех мануалах должен передавать во внутреннюю сеть. Подскажите, куда копать?

Подскажите, Вам удалось решить проблему?

KeenTaur · 4 июля

Обновился до 4.3.4. Маршруты, заданные при помощи virtual-ip dhcp route на сервере IKEv2 клиенту по-прежнему не передаются. В телеграм-бот поддержки отписался.

Username25 · 5 июля

У меня тоже на 4.3.3, 4.3.4 не работают VPN клиенты ((

DeniDoman · 18 июля

On 6/8/2025 at 8:55 AM, DeniDoman said:
Аналогичная проблема.

Поднял IKEv2 сервер на роутере (4.3.3, на стабильной тоже пробовал), подключение с MacOS 15.5 проходит успешно, могу зайти в WebUI по IP роутера.

Но при этом макбук не может достучаться до сервера в локальной сети:
❯ ping 192.168.1.3
PING 192.168.1.3 (192.168.1.3): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
А сам кинетик может (на страничке с диагностикой пинги ходят).

Static route создается, но, видимо, что-то идет не так

172.30.8.1/32

0.0.0.0

IKEV2VPN

Обновился на 4.3.5, проблема на месте. Доступа во внутреннюю сеть нет, только в интернет.

Le ecureuil · 25 июля

Всем спасибо за репорты и терпение, проблема с неотдачей маршрутов в серверах IKEv1 и IKEv2 поправлена, исправление появится в следующих выпусках.

Le ecureuil · 25 июля

В 18.07.2025 в 21:07, DeniDoman сказал:

Обновился на 4.3.5, проблема на месте. Доступа во внутреннюю сеть нет, только в интернет.

А вы уверены, что MacOS понимает маршруты, которые приходят от сервера по DHCP INFORM?

DeniDoman · 1 августа

On 7/25/2025 at 8:50 AM, Le ecureuil said:

А вы уверены, что MacOS понимает маршруты, которые приходят от сервера по DHCP INFORM?

Нет, не уверен. Это как-то можно проверить?

Но, справедливости ради, я воспроизводил проблему и на MacOS, и на своем Android телефоне (Pixel 9 Pro, Android 16).

clvz · 11 августа

Добрый день. А может кто знает как наоборот впн клиентам запретить локалку полностью и оставить только доступ в интернет?

Le ecureuil · 11 августа

6 часов назад, clvz сказал:

Добрый день. А может кто знает как наоборот впн клиентам запретить локалку полностью и оставить только доступ в интернет?

Сделать еще один изолированный сегмент с security-level protected, и привязать сервер к нему.

Lexm434 · 5 октября

В 25.07.2025 в 09:49, Le ecureuil сказал:

Всем спасибо за репорты и терпение, проблема с неотдачей маршрутов в серверах IKEv1 и IKEv2 поправлена, исправление появится в следующих выпусках.

Привет! Ну что там поправили в итоге маршруты на сегодня?

KeenTaur · 6 октября

Не уверен точно, с какой версии поправили, но с 4.3.6.1 обратил внимание, что уже работает, маршруты VPN-клиентам IKEv2 передаются. (Почто Le ecureuil отмечен соответствующей благодарностью )

Изменено 6 октября пользователем KeenTaur

Bomb2001 · 22 октября

Чтобы не создавать новую тему - напишу сюда:

Есть две Гиги 1012 и 1011 с прошивками 5.0 beta3, на 1012 имеется белый IP и там поднят IKEv2/IPSec сервер, плюс настроен WG туннель до удаленного сервера, также сделана маршрутизация по доменам на интерфейс WG туннеля. Удаленно подключаюсь к IKEv2 серверу клиентом Windows 10 из сети Гига 1011, с использованием шлюза в удаленной сети - все работает как надо. Создаю подключение к IKEv2 серверу непосредственно клиентом роутера Гига 1011 и настраиваю маршрутизацию по доменам на интерфейс этого подключения - подключение происходит, но маршрутизация по доменам не работает. Что я делаю не так и возможно вообще такое настроить?

Изменено 22 октября пользователем Bomb2001

Le ecureuil · 23 октября

12 часов назад, Bomb2001 сказал:

Чтобы не создавать новую тему - напишу сюда:

Есть две Гиги 1012 и 1011 с прошивками 5.0 beta3, на 1012 имеется белый IP и там поднят IKEv2/IPSec сервер, плюс настроен WG туннель до удаленного сервера, также сделана маршрутизация по доменам на интерфейс WG туннеля. Удаленно подключаюсь к IKEv2 серверу клиентом Windows 10 из сети Гига 1011, с использованием шлюза в удаленной сети - все работает как надо. Создаю подключение к IKEv2 серверу непосредственно клиентом роутера Гига 1011 и настраиваю маршрутизацию по доменам на интерфейс этого подключения - подключение происходит, но маршрутизация по доменам не работает. Что я делаю не так и возможно вообще такое настроить?

DNS-сервер на клиентской 1011 у вас тоже должен идти через IKEv2 на адрес 1012 в локалке, все остальные DNS-сервера на 1011 нужно выключить.

Дмитрий_Л · Вторник в 13:27

Всем привет!

Подскажите, никто не заморачивался с маршрутами для клиентов\пользователей?

Т. Е. Условно, пользователь тест1, должен иметь доступ к 10.15.0.0\16. А пользователь тест2, должен иметь доступ к 172.17.0.0\16 и 10.182.0.0\16.

Bomb2001 · Среда в 00:28

На 5.0.0 похоже всплыл баг с непередачей маршрутов домашней сети клиенту - подключаюсь - нет доступа, если опять же разрешить "Использовать основной шлюз в удаленной сети", то работает. Сервер IKEv2 на Ultra-1812, подключаюсь встроенным клиентом Windows 10.

Изменено Среда в 00:29 пользователем Bomb2001

avn · Среда в 04:34

4 часа назад, Bomb2001 сказал:

На 5.0.0 похоже всплыл баг с непередачей маршрутов домашней сети клиенту - подключаюсь - нет доступа, если опять же разрешить "Использовать основной шлюз в удаленной сети", то работает. Сервер IKEv2 на Ultra-1812, подключаюсь встроенным клиентом Windows 10.

@Le ecureuil Так и задумано?

Тоже не получаю маршруты, правда клиентом ikev2 на кинетике. Возможно его там и нету. Но

100.100.100.34 === 172.16.35.0/22

Разве не должен создаться маршрут у клиента 172.16.35.0/22?

Le ecureuil · Среда в 08:40

Покажите ваши self-test с сервера.

Bomb2001 · Среда в 10:57

2 часа назад, Le ecureuil сказал:

Покажите ваши self-test с сервера.

отправил в личные сообщения, еще у меня странность - есть два сегмента сети "Домашний" и "Гостевой", так вот доступ к "Домашней" сети появляется, если включить, как выше я уже писал, "использовать основной шлюз в удаленной сети" и в настройках сервера IKEv2 выбрать доступ к сети "Гостевая сеть" вместо "Домашняя сеть"

avn · Среда в 21:20

9 часов назад, Le ecureuil сказал:

Покажите ваши self-test с сервера.

При добавлении маршрута все начинает работать с интерфейса Bridge0. На версии 5.0.0Pre аналогичное поведение.

Спойлер

ip route 192.168.12.0 255.255.252.0 IKE0 auto reject

image.png.9197c2e5fb0a41e566e1377a92b50827.png

Изменено Среда в 21:23 пользователем avn

kletska · 22 часа назад

Немного не по теме, но проблема та же после обновления до версии 4.3.6.3 - пропал доступ к локальной сети сервера SSTP при подключении с клиента - Win10.

При подключении с телефона (OpenSSTPClient + TotalCMDLan) доступ есть.

Настраивал по мануалу и до обновления прошивки роутера доступ в локальную сеть точно был.

Дмитрий_Л · 22 часа назад

В 04.11.2025 в 16:27, Дмитрий_Л сказал:

Всем привет!

Подскажите, никто не заморачивался с маршрутами для клиентов\пользователей?

Т. Е. Условно, пользователь тест1, должен иметь доступ к 10.15.0.0\16. А пользователь тест2, должен иметь доступ к 172.17.0.0\16 и 10.182.0.0\16.

Видимо отвечу сам себе, чтобы закрыть этот вопрос, и, не только этот, заказал микрот 4011... Всем спасибо...

avn · 12 часов назад

В 05.11.2025 в 11:40, Le ecureuil сказал:

Покажите ваши self-test с сервера.

@Le ecureuil

Удалось посмотреть?

Войти

VPN-сервер IKEv2/IPsec маршрутизация

Рекомендуемые сообщения

Lexm434

DeniDoman

Vladshee

DeniDoman

KeenTaur

KeenTaur

Мухожук

Avrok

KeenTaur

Username25

DeniDoman

Le ecureuil

Le ecureuil

DeniDoman

clvz

Le ecureuil

Lexm434

KeenTaur

Bomb2001

Le ecureuil

Дмитрий_Л

Bomb2001

avn

Le ecureuil

Bomb2001

avn

kletska

Дмитрий_Л

avn

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация