Omni 2 ipsec - доступ только от инициатора к респондеру

[gekm]

Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой.

192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16

Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16)

Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24.

Может ли быть проблема в том, что у omni 2 динамический ip?

Либо, вероятнее, в маршрутах?

Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway?

 

Изменено 24 апреля, 2017 пользователем gekm

[Le ecureuil]

В 4/24/2017 в 20:09, gekm сказал:

Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой.

192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16

Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16)

Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24.

Может ли быть проблема в том, что у omni 2 динамический ip?

Либо, вероятнее, в маршрутах?

Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway?

 

Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально.

[gekm]

5 часов назад, Le ecureuil сказал:

Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально.

Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan.

Изменено 27 апреля, 2017 пользователем gekm
корректировка

[Le ecureuil]

18 часов назад, gekm сказал:

Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan.

Но на pfsense в качестве ядра используется freebsd, и это в корне меняет дело.

Как мы видим, проблем с IKE у вас нет, и соединение устанавливается.

Однако прохождение пакетов - это уже забота ядра FreeBSD, PFKEY и pf.