Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

IPSec VPN странное себя ведет при 2 и более соединениях с "Ожидать подключение от удаленного пира"

kersantinov
 Поделиться

Рекомендуемые сообщения

kersantinov Пользователь

kersantinov

Опубликовано
Опубликовано

Доброго.

Есть Гига 3, которая собирает на себе IPSec VPNs, есть 2 Лайт3 с белыми дин IP (IPoE)

Соответсвенно на Гига3 выбрано у обоих тоннелей: Ожидать подключение от удаленного пира.

На обоих лайтах впн подымается и горит зеленым.

На гиге "первое" соединение горит зеленым и работает, "второе" горит красным, но по факту пинг есть c потерями с постоянными вклиниваниями Destination Unreachable. 

Везде 2.10.C.1.0-0

Ну и да, при установке галки Ожидать подключение от удаленного пира у меня нет возможности указать идентификатор удаленного шлюза, встает Any.

Настройки 1 и 2 фазы одинаковые везде, тоннельный режим. ключи пробовал одинаковые и менять для разных пар ВПН соединений - результат одинаков.

пс: пишу по памяти, выбили статический IP на одной из точек.

""

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Уже сто раз обсуждалось, но давайте подведу вам чеклист того, что нужно сделать в порядке убывания степени важности:

 - если есть возможность, используйте только IKEv2 со строковыми уникальными идентификаторами Email/DN/FQDN. Никаких IKEv1, о нем стоит забыть, если только не стоит цель в совместимости с другими пирами, которые невозможно перенастроить / обновить.

 - если есть возможность, не настраивайте другие IPsec-сервисы (даже клиентские) на этих марштуризаторах - чем больше вы их "навесите", тем сложнее вам будет разгребать проблемы с совместимостью.

 - если есть возможность, ставьте 2.12.

По результату будем смотреть.

kersantinov Пользователь

kersantinov

Опубликовано
  • Автор
Опубликовано

Я понял, я больше не буду засорять форум своими проблемами с IPSec.

Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V

По теме:

-приходится использовать ikev1

-кроме site-to-site Ipsec никак не используется больше.

- число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать.

 

На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио.

Изучим, подумаем, запланируем переход. Спасибо.

 

 

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
58 минут назад, kersantinov сказал:

Я понял, я больше не буду засорять форум своими проблемами с IPSec.

Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V

По теме:

-приходится использовать ikev1

-кроме site-to-site Ipsec никак не используется больше.

- число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать.

 

На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио.

Изучим, подумаем, запланируем переход. Спасибо.

 

 

Если у вас такая необходимость в IKEv1, то вам придется перейти на IP-адреса в качестве идентификаторов, если вы хотите принимать сразу несколько туннелей с разными настройками.

А вообще неплохо бы и self-test с описанием в какое время что делалось, а то гадание на воде к хорошему не приводит.

kersantinov Пользователь

kersantinov

Опубликовано
  • Автор
Опубликовано (изменено)

Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP.

Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)

Изменено пользователем kersantinov
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
40 минут назад, kersantinov сказал:

Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP.

Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)

Ломать не стоит, но если еще будут какие-либо вопросы - сразу снимайте self-test и сюда, здесь разберемся уже нужен он был или нет.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю