Jump to content
gekm

Omni 2 ipsec - доступ только от инициатора к респондеру

Recommended Posts

Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой.

192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16

Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16)

Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24.

Может ли быть проблема в том, что у omni 2 динамический ip?

Либо, вероятнее, в маршрутах?

Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway?

 

Edited by gekm

Share this post


Link to post
Share on other sites
В 4/24/2017 в 20:09, gekm сказал:

Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой.

192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16

Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16)

Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24.

Может ли быть проблема в том, что у omni 2 динамический ip?

Либо, вероятнее, в маршрутах?

Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway?

 

Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально.

Share this post


Link to post
Share on other sites
5 часов назад, Le ecureuil сказал:

Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально.

Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan.

Edited by gekm
корректировка

Share this post


Link to post
Share on other sites
18 часов назад, gekm сказал:

Имеется ввиду именно схема с 4g модемом и динамическим адресом? У меня есть подозрения насчет настроек pfsense, а именно Remote Gateway указан 0.0.0.0 (поскольку адрес удаленного шлюза за 4g модемом каждый раз разный, таким образом я разрешил подключение с любого адреса). В качестве peer identifier указан Distinguished name (произвольный набор символов, совпадающий на обоих шлюзах). Вообще это обнадеживает, поскольку на pfsense же тоже StrongSwan.

Но на pfsense в качестве ядра используется freebsd, и это в корне меняет дело.

Как мы видим, проблем с IKE у вас нет, и соединение устанавливается.

Однако прохождение пакетов - это уже забота ядра FreeBSD, PFKEY и pf.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...