Не работает транзитная маршрутизация в удалённые подсети

[artaffar]

  

Столкнулся с невозможностью видеть удалённые подсети через туннель IPsec site-to-site. Схема следующая:

 

Speedster в качестве клиента подключается к Mikrotik через L2TP/IPsec.

С Keenetic Viva не пингуются хосты в сетях 192.168.81.0 и 192.168.82.0. Трассировка обрывается на локальном IP Speedster 192.168.87.1, поэтому делаю вывод, что туннель site-to-site работает как нужно. Настройки туннеля:

 

crypto map выдаёт вот это:

 phase2_sa_list:
                    phase2_sa, index = 0:
                        unique_id: 2
                       request_id: 1
                         sa_state: INSTALLED
                             mode: TUNNEL
                         protocol: ESP
                    encapsulation: yes
                        local_spi: c5a7ed17
                       remote_spi: c07e6a5d
                     ipsec_cypher: esp-des
                       ipsec_hmac: esp-md5-hmac
                   ipsec_dh_group:
                         in_bytes: 356146
                       in_packets: 310
                          in_time: 0
                        out_bytes: 43614
                      out_packets: 195
                         out_time: 0
                       rekey_time: 0
                         local_ts: 192.168.1.0/24
                        remote_ts: 192.168.81.0/24,192.168.82.0/24,192.168.87.0/24

                    state: PHASE2_ESTABLISHED

В Speedster прописаны маршруты, из его локальной сети доступ в сети 81 и 82 есть:

 

 

 

 

 

 

 

По совету поддержки прописывал acl на интерфейсе L2TP0 Speedster, но это не помогло. Также изменял в CLI тип интерфейса L2TP0 с public на private и protected, отключал функцию isolate, но ничего не помогает. С роутера Viva трассировка к хостам в сетях 81 и 82 обрывается на IP 192.168.87.1 Speedster. Делал захват сетевых пакетов, из которого видно, что пакеты доходят до интерфейса L2TP0 Speedster, но дальше no response. На форуме есть как минимум 3 темы с подобными проблемами, когда через туннель доступна только одна подсеть, а подсети за другими интерфейсами - нет.

https://forum.keenetic.ru/topic/20319-связать-несколько-удалённых-подсетей-по-wireguard/

https://forum.keenetic.ru/topic/20279-доступ-vpn-клиента-к-ресурсам-объединенной-сети/

https://forum.keenetic.ru/topic/20292-соединение-wireguard-и-ipsec-vpn-типа-сеть—сеть/

Делаю вывод, что причина в логике работы работы KeeneticOS с интерфейсами. ОС блокирует пакеты на интерфейс, если они идут не из локальной сети, а из другого туннеля. Поддержка в итоге отфутболила и теперь молчит. Помогите, пожалуйста. Считаю, это баг.

capture-L2TP0-Mar 13 09-19-50.pcapng

Изменено 18 марта пользователем artaffar

[artaffar]

Отвечу сам себе. С IPSec site-to-site такая схема работать не будет. Дело в NAT. В итоге соединил Speedster и Viva через Wireguard, прописал нужные подсети и маршруты. После чего перевёл интерфейс Wireguard0 на Speedster в private и включил на нём NAT:

interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save

Теперь из сети 192.168.1.0/24 роутера Viva доступны хосты в подсетях 81 и 82.

Изменено 21 марта пользователем artaffar