Jump to content

Recommended Posts

Posted (edited)

Граждане форумчане, ткните меня носом, где что я забыл прописать.

Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит.

Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где.

ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно.

 

Edited by Arthur
Дополнение
Posted
3 часа назад, Arthur сказал:

Граждане форумчане, ткните меня носом, где что я забыл прописать.

Есть 2 Keenetic Ultra 2, обновлены до последней прошивки, установил между ними ipsec туннель. Туннель поднялся, с одного роутера до другого пинг идет. Как только пытаюсь пинговать с рабочей станции дальше роутера ничего не уходит.

Думал что при создании тунеля система автоматически создает маршрут до другого роутера, хотел на всякий случай прописать ручками но не нашел где.

ПС: Маршрут на рабочей станции до роутера ручками прописывал, безрезультатно.

 

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Posted
2 часа назад, Le ecureuil сказал:

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Да все верно, каждый роутер является гейтом в своей сети

Posted

А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля?

Posted
48 минут назад, Arthur сказал:

Да все верно, каждый роутер является гейтом в своей сети

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация.

Попробуйте настроить firewall на клиентах.

Posted
33 минуты назад, r13 сказал:

А адрес рабочей станции в том же сегменте сети что описан в настройках ipsec туннеля?

В том же

Posted
33 минуты назад, Le ecureuil сказал:

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация.

Попробуйте настроить firewall на клиентах.

Фаерволл на виндовых клиентах отключен. На счет нат не сильно уверен, но касколько я понимаю нат нужен только для общения из локалки с интернетом. А для локалки в этом нет необходимости.

Просто на основном Кинетике также поднят PPTP впн и на нем сидят два подключенных клиента, у них проблем нет, и ничего кроме самой службы настраивать не пришлось.. И пингуется все и в инет ходит через него удаленный клиент. А с айписеком такая беда.

Posted

Был у меня опыт настройки роутера другой фирмы на прошивке ддврт, так вот там при создании тунеля маршрутизация до нужный подсетей создается , но после отвала и нового подключения ВПН маршруты пропадали, и чтобы восстановить их приходилось писать крон с добавлением по таймеру

Posted

Просто я о чем подумал, раз пинг идет с гейта, значит маршрут есть, может дело все де в фаере на гейте. Хотел посмотреть на сервере но не нашел в кинетике параметрые фаера для впн туннеля. Были только HOME для всех сетей,и для вафли

Posted

Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN.

Posted
6 минут назад, Le ecureuil сказал:

Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN.

А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты?

Posted
1 час назад, Arthur сказал:

А как тогда гейт понимает что например сеть 192.168.20.1 находится за а IPSEC и надо именно туда отправлять пакеты?

По политике, для подробностей гуглите устройство XFRM.

Posted

Спасибо за советы. Вчера зашел в мониторинг впн смотрю серый, видимо отвалился. Решил ребутнуть оба шлюза, после этого ипсек поднялся и пинги пошли со всех адресов.

Но у меня сразу следующий вопросик, на клиенте стоит автореконнект, но судя по всему его не произошло. Как это можно поправить через вебку? Или придется лезть в консоль и писать кроны на проверку подключения?

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.