ipsec сеть-сеть. проблема во мне или технологии?

[vvfd]

Есть сервер на ubuntu. Нужно было через него объединить две локалки за динамичиескми адресами. На сервере поднят vpn сервер strongswan. К нему подключено с помощью тоннелей сеть-сеть 2 роутера. На сервере поднят виртуальный сервер 10.10.20.1. Оба роутера входят в эту сеть. В итоге я могу из сервера пинговать роутеры, а с роутеров пинговать виртуальный сервер 10.10.20.1. Но попытка пинговать с роутера другой роутер проваливается. Маршрут с роутера на другой роутер не прокладывается. Попытка с роутера трассировать дорогу до другого роутера уводит путь в провайдера. Возможно ли как-то завернуть трафик до другой сети принудительно засунуть в тоннель? Или это в принципе невозможно на кинетике и вообще технология не позволяет и нужен другой протокол? 

[WingDog2]

понятного из описания мало. нужна или схема или, хотя бы текстовое описание роутинга с сетями.

если вам нужно связать 2 сетки через транзитный site-to-site, то с обойх концов нужно добавлять по 2 сети: основная и транзитная за ней.

например, у вас есть такой конфиг и нужно соедить сети за бубунтами в STS через третий роутер:

ubuntu1.

localnet: 192.168.0.0/24

ubuntu2:

localnet: 192.168.1.0/24

Third-transit-router:

localnet: 10.10.20.0/24

 

со стороны ubuntu1 вы поднимаете туннель и прописываете не только 10.10.20.0/24 через какой-то туннельный интерфейс, но и через него же роутите и подсеть за ubuntu2 192.168.1.0/24

а со стороны ubuntu2 делаете зеркально и прописываете не только 10.10.20.0/24 через какой-то туннельный интерфейс, но и через него же роутите и подсеть за ubuntu1 192.168.0.0/24

далее может потребоваться прописать зоны и соответствующие подсети в файрволе через условный ANY (STS zone/net/interface) to ANY (STS zone/net/interface).

не очень понял причём тут кинетик, но роуты в кинетике добавляются в network rules - routing - кнопка Create Route

 

[CATCrypt]

17 часов назад, vvfd сказал:

Есть сервер на ubuntu. Нужно было через него объединить две локалки за динамичиескми адресами. На сервере поднят vpn сервер strongswan. К нему подключено с помощью тоннелей сеть-сеть 2 роутера. На сервере поднят виртуальный сервер 10.10.20.1. Оба роутера входят в эту сеть. В итоге я могу из сервера пинговать роутеры, а с роутеров пинговать виртуальный сервер 10.10.20.1. Но попытка пинговать с роутера другой роутер проваливается. Маршрут с роутера на другой роутер не прокладывается. Попытка с роутера трассировать дорогу до другого роутера уводит путь в провайдера. Возможно ли как-то завернуть трафик до другой сети принудительно засунуть в тоннель? Или это в принципе невозможно на кинетике и вообще технология не позволяет и нужен другой протокол? 

Для зарубежных серверов не будет работать ipsec сеть. Я неоднократно проверял это с различными конфигурациями.

Одинаковая схема работает между странами прекрасно, но если один из находится в РФ, то картина аналогичная вашей.Так что это не из за ваших кривых настроек, а потому что блокируют это дело вам.

[Pop70]

19 часов назад, CATCrypt сказал:

Для зарубежных серверов не будет работать ipsec сеть. Я неоднократно проверял это с различными конфигурациями.

Одинаковая схема работает между странами прекрасно, но если один из находится в РФ, то картина аналогичная вашей.Так что это не из за ваших кривых настроек, а потому что блокируют это дело вам.

Вы читать умеете, или только писать?

У топикстартера прекрасно работают ipsec туннели. У него просто не настроена маршрутизация.

К проблемам блокировок, его проблема не имеет никакого отношения.

[vvfd]

В 10.04.2026 в 13:34, Pop70 сказал:

У топикстартера прекрасно работают ipsec туннели. У него просто не настроена маршрутизация.

Я забил. Как я понял при создании соединения ipsec сеть-сеть маршрутизация определяется политиками созданного соединения. Само соединение при этом не создает никакого интерфейса в кинетике и соответственно к нему не применить правила маршрутизации. Почему у меня не срабатывали политики - я устал выяснять. Поднял wireguad на сервере и тоже не без приключений заработало. Только через приоритизацию соединений я смогу увидеть устройства в сети за одним из роутеров. Все-таки кинетик не для таких задач. Политики соединения wireguard тоже что-то без принудительного маршрута до сервера не завелись. Но к нему хотя бы можно создать маршрутизацию. Собственно вопрос в первом посте был в том можно ли завернуть трафик с роутера принудительно в тоннель силами кинетика, если я это соединение не вижу в интерфейсах ни в каком виде.  

[vvfd]

В 09.04.2026 в 17:59, CATCrypt сказал:

Для зарубежных серверов не будет работать ipsec сеть. Я неоднократно проверял это с различными конфигурациями.

я для этого дела специально купил сервер в России. 

[Denis P]

7 часов назад, vvfd сказал:

Собственно вопрос в первом посте был в том можно ли завернуть трафик с роутера принудительно в тоннель силами кинетика, если я это соединение не вижу в интерфейсах ни в каком виде. 

 

[vvfd]

Спасибо. Мне стало проще разобраться с wireguard. Поднял на нем сеть.