Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

IPSEC между двумя Ultra 2 не пингуется

Arthur
 Поделиться

Рекомендуемые сообщения

Arthur Пользователь

Arthur

Опубликовано
Опубликовано (изменено)

Граждане форумчане, ткните меня носом, где что я забыл прописать.

Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит.

Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где.

ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно.

 

Изменено пользователем Arthur
Дополнение
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
3 часа назад, Arthur сказал:

Граждане форумчане, ткните меня носом, где что я забыл прописать.

Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит.

Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где.

ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно.

 

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано
2 часа назад, Le ecureuil сказал:

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Да все верно, каждый роутер является гейтом в своей сети

r13 Старожил

r13

Опубликовано
Опубликовано

А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля?

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
48 минут назад, Arthur сказал:

Да все верно, каждый роутер является гейтом в своей сети

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация.

Попробуйте настроить firewall на клиентах.

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано
33 минуты назад, r13 сказал:

А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля?

В том же

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано
33 минуты назад, Le ecureuil сказал:

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация.

Попробуйте настроить firewall на клиентах.

Фаерволл на виндовых клиентах отключен. На счет нат не сильно уверен, но касколько я понимаю нат нужен только для общения из локалки с интернетом. А для локалки в этом нет необходимости.

Просто на основном Кинетике также поднят PPTP впн и на нем сидят два подключенных клиента, у них проблем нет, и ничего кроме самой службы настраивать не пришлось.. И пингуется все и в инет ходит через него удаленный клиент. А с айписеком такая беда.

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано

Был у меня опыт настройки роутера другой фирмы на прошивке ддврт, так вот там при создании тунеля маршрутизация до нужный подсетей создается , но после отвала и нового подключения ВПН маршруты пропадали, и чтобы восстановить их приходилось писать крон с добавлением по таймеру

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано

Просто я о чем подумал, раз пинг идет с гейта, значит маршрут есть, может дело все де в фаере на гейте. Хотел посмотреть на сервере но не нашел в кинетике параметрые фаера для впн туннеля. Были только HOME для всех сетей,и для вафли

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано
6 минут назад, Le ecureuil сказал:

Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN.

А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты?

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
1 час назад, Arthur сказал:

А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты?

По политике, для подробностей гуглите устройство XFRM.

Arthur Пользователь

Arthur

Опубликовано
  • Автор
Опубликовано

Спасибо за советы. Вчера зашел в мониторинг впн смотрю серый, видимо отвалился. Решил ребутнуть оба шлюза, после этого ипсек поднялся и пинги пошли со всех адресов.

Но у меня сразу следующий вопросик, на клиенте стоит автореконнект, но судя по всему его не произошло. Как это можно поправить через вебку? Или придется лезть в консоль и писать кроны на проверку подключения?

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю