Site-to-Site VPN настроен, но трафик не идет.

Site-to-Site VPN настроен, но трафик не идет., UniFi Network

oliversl

Guest

11.07.2017 21:47:00

Привет! Я настроил Site-to-Site между USG3p и RV042g, оба показывают подключение:

# show vpn ipsec sa
peer-REMOTE_IP-tunnel-vti: #1, ESTABLISHED, IKEv1, f1b36004a51420a4:41fda93757efb921
local ‘WAN1_IP’ @ WAN1_IP
remote ‘REMOTE_IP’ @ REMOTE_IP
AES_CBC-128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
установлено 331 секунду назад, повторная аутентификация через 27661 секунд

peer-REMOTE_IP-tunnel-vti: #1, INSTALLED, TUNNEL, ESP:AES_CBC-128/HMAC_SHA1_96/MODP_1024
установлен 331 секунду назад, повторное ключение через 2343 секунды, истекает через 3269 секунд
входящий c0820b2b, 0 байт, 0 пакетов
исходящий 99dc4b1e, 0 байт, 0 пакетов
локальная сеть 192.168.1.0/24
удалённая сеть 192.168.2.0/24

Но трафик через VPN не проходит. Как мне проверить, что VPN действительно работает? И нужны ли какие-то правила файрволла для корректной работы VPN?

# show vpn ipsec status
IPSec процесс запущен PID: 28479
1 активный IPsec туннель
IPsec интерфейсы:
eth0 (WAN1_IP)
eth2 (без IP, интерфейс настроен статически как local-address для VPN-пира)

Jul 11 15:29:59 00[DMN] Запуск демона IKE charon (strongSwan 5.2.2, Linux 3.10.20-UBNT, mips64)
Jul 11 15:30:06 10[IKE] <1> REMOTE_IP инициирует Main Mode IKE_SA
Jul 11 15:30:06 14[IKE] <peer-REMOTE_IP-tunnel-vti|1> IKE_SA peer-REMOTE_IP-tunnel-vti[1] установлен между WAN1_IP[WAN1_IP]...REMOTE_IP[REMOTE_IP]
Jul 11 15:30:06 04[IKE] <peer-REMOTE_IP-tunnel-vti|1> CHILD_SA peer-REMOTE_IP-tunnel-vti{1} установлен с SPI c0820b2b_i 99dc4b1e_o и TS 192.168.1.0/24 === 192.168.2.0/24

Модель: UniFi-Gateway-3
Версия: 4.3.41.4975503

Большое спасибо!

oliversl Guest	#2 26.08.2017 23:21:00 Мне так и не удалось настроить Manual VPN между RV042 и USG. Рекомендую последнюю тестовую сборку: USG (3 порта): https://dl.ubnt-ut.com/cmb/USG-upgrade-v4.3.59dev.5011670.170823.0911.tar

Comicozzi Guest	#3 26.08.2017 16:50:00 Какой из них ты рекомендуешь?

oliversl Guest	#4 24.08.2017 00:11:00 Я делаю ручную настройку. Кто-нибудь уже запустил это на dev прошивке 4.3.59? https://community.ui.com/questions/35ee6a62-d216-458c-8679-2c49f4b13cb5

Think-Networks Guest	#5 10.08.2017 06:03:00 Не понимаю, что вы там делаете — я не менял ничего, кроме стандартной настройки, и у меня всё работает между тремя USG-3P. Вы вручную создаёте IPSEC или автоматический?

oliversl Guest	#6 20.09.2017 21:25:00 VPN установлен, но трафик всё равно идёт через VPN. Пинга нет, байтов нет, ничего.

Think-Networks Guest	#7 27.08.2017 16:23:00 Как уже упоминал, я использую это на RV082, который такой же, но с большим количеством портов, и всё отлично работало, никаких проблем с ручной настройкой. Что именно у тебя не работало?

ejonason

Guest

09.08.2017 21:19:00

У меня такая же проблема с туннелями site-to-site. Я могу настроить туннель между двумя устройствами USG Pro 4, и трафик проходит, но любые туннели между Pro4 и USG или между двумя устройствами USG устанавливаются, но трафик не проходит. Пробовал с последней прошивкой и предыдущей версией на обоих — разницы нет. Открыл чат с поддержкой, но они «исследуют проблему» и пока не ответили.

oliversl Guest	#9 08.08.2017 17:26:00 Появилась новая тестовая сборка для пробы, 4.3.54dev: https://community.ui.com/releases/afe46715-3f49-4f9d-b8a2-8ca567f8ccc4

-sg Guest	#10 01.08.2017 01:37:00 Пробовал версию .49, но безуспешно. У меня открыта заявка. Дайте мне проверить балансировку нагрузки, и я вернусь к вам с ответом.

oliversl Guest	#11 01.08.2017 01:06:00 Спасибо за информацию! Ты не в курсе, работает ли load-balance в версии .39? У меня стоит .41, и там load balance работает отлично. Кстати, пробовал уже новую .49? С уважением, Оливер

Читают тему (гостей: 1)