Site-To-Site VPN работает, но пользоваться им невозможно

Site-To-Site VPN работает, но пользоваться им невозможно, UniFi Network

protean

Guest

10.10.2016 18:46:00

Давно не могу настроить site-to-site VPN на облачном контроллере (v5.2.9) между двумя или более USG (использую VPN Client: Auto). Все мои USG обновлены до FW 4.3.23, статус соединения показывает UP (show vpn ipsec sa, show vpn ike sa), но я не могу пропинговать ни одно устройство в удалённой сети. Все файлы config.gateway.json отключены для каждого сайта. Правила фаервола никаких, кроме стандартных. Раньше у меня это работало, что я упускаю?

jndfx22

Guest

08.12.2016 19:21:00

@rebelwireless

У меня было только одно устройство для тестирования, когда я заметил это. Лично я думаю, что это связано с PPPoE или DHCP в моём случае. Когда раньше не работало, я заходил в USG и проверял настройки VPN — там использовался мой предыдущий WAN IP для конфигурации, так что контроллер не обновлялся. При повторении тех же действий в другие разы USG выдавал сообщение, что VPN не настроен. В общем, большая часть проблемы точно в том, что контроллер неправильно выполняет настройку.

rebelwireless Guest	#3 08.12.2016 18:54:00 У меня всего несколько VPN, и только одна сейчас между USG. Они, вроде, нормально у меня работают. Может, дело в количестве?

jndfx22 Guest	#4 08.12.2016 18:48:00 Я тоже это заметил. @Adam1

Adam1

Guest

08.12.2016 18:34:00

Я часто использую site-to-site VPN между 20 разными площадками, но только на короткий период по мере необходимости. Иногда бывает, что все отображается как подключённое, но я не могу выйти на другую площадку. Если удалить site-to-site VPN и добавить его заново, всё начинает работать. Как только соединение установлено и работает, оно держится без проблем весь день. Но да, иногда приходится несколько раз удалять и добавлять site-to-site VPN, чтобы всё заработало.

SHANE523

Guest

08.12.2016 15:25:00

ЕСЛИ ни у одного из ваших USG нет поддержки двойного WAN, убедитесь, что WAN2 отключён. По какой-то причине один из моих USG Pro постоянно меняет мои WAN-подключения с Static на DHCP. У меня WAN 1 настроен на статический IP, а WAN 2 отключён для обычного использования. Когда они сбрасываются на DHCP, это происходит с обоими, а не с одним, и в этот момент я не могу отправлять пинги с этого сайта на другие, хотя с других пинги проходят.

protean Guest	#7 07.12.2016 12:33:00 У меня около 30 сайтов на моём облачном контроллере (AWS), и все сайты могут соединяться друг с другом по VPN (не все со всеми) с помощью встроенной функции авто site-to-site в GUI на текущей версии контроллера (5.3.8) без единой проблемы. Но у меня лично — другая история: сайты соединяются, и видно, что связь поднята, если посмотреть командой admin@Router:~$ show vpn ike sa Peer ID / IP Local ID / IP ------------ ------------- xx.xx.76.86 xx.xx.26.58 State Encrypt Hash D-H Grp NAT-T A-Time L-Time ----- ------- ---- ------- ----- ------ ------ up aes256 sha1 14 no 272 28800 или admin@Router:~$ show vpn ipsec sa Peer ID / IP Local ID / IP ------------ ------------- xx.xx.76.86 xx.xx.26.58 Tunnel State Bytes Out/In Encrypt Hash NAT-T A-Time L-Time Proto ------ ----- ------------- ------- ---- ----- ------ ------ ----- vti up 0.0/0.0 aes256 sha1 no 778 3600 all но я не могу ни пинговать, ни отправлять, ни принимать данные с удалённого сайта. Почему — не могу понять. Пробовал разное: удалял файл gateway.config.json, который использую для включения IPsec клиентского доступа, ковырялся с настройками MTU — без толку. Единственное, что приходит в голову — это проблема с моим модемом, но у другого сайта с таким же модемом всё работает нормально. Хочу, чтобы это работало, потому что использую site-to-site VPN для подключения к разным сетям и работы с ними. Если бы это было постоянное соединение, я бы применял метод с gateway.config.json. А так включаю S2S, делаю свои дела и выключаю.

Читают тему (гостей: 1)