У нас есть несколько USG-4, которые делают IPsec VPN-соединения с центральной системой. После обновления ПО контроллера Unifi до версии 5.2.9 мы не можем полностью установить IPsec-подключение — оно, похоже, застревает на исходящей маршрутизации. Я знаю, что VPN работает, потому что могу подключиться к удалённому сайту из основных подсетей и вижу всю сеть на удалённой стороне.
Однако, когда пытаюсь сходить в обратную сторону — с удалённого сайта в основные подсети — USG4, кажется, отправляет весь трафик через PPPoE-соединение вместо IPsec-туннеля. При этом, если выполнить PING/Traceroute прямо с USG4 при входе в систему, он работает, только не через локальную LAN.
Копаясь в конфигурации, вижу, что маршруты вроде бы есть:
protocols {
static {
interface-route 0.0.0.0/0 {
next-hop-interface pppoe0 {
}
}
interface-route 192.168.250.0/24 {
next-hop-interface vti64 {
distance 30
}
}
interface-route 192.168.251.0/24 {
next-hop-interface vti64 {
distance 30
}
}
table 1 {
interface-route 0.0.0.0/0 {
next-hop-interface pppoe0 {
}
}
}
table 2 {
route 0.0.0.0/0 {
next-hop 0.0.0.0 {
}
}
}
}
}
Я также проверил и сравнил конфигурационные файлы с другими рабочими удалёнными сайтами — разницы, кроме изменений подсетей между сайтами, не вижу. Пробовал полностью удалять Site-to-site сеть и заново настраивать конфиг — в любом случае трафик всё равно идёт через WAN.
IPsec VPN настроен в контроллере (так же, как и рабочие) с включённой динамической маршрутизацией. Хотел сделать так, чтобы не приходилось создавать индивидуальный .json файл для каждого сайта.
vpn {
ipsec {
auto-firewall-nat-exclude enable
esp-group ESP_xx.xx.xx.xx {
compression disable
lifetime 3600
mode tunnel
pfs enable
proposal 1 {
encryption aes256
hash sha1
}
}
ike-group IKE_xx.xx.xx.xx {
key-exchange ikev1
lifetime 28800
proposal 1 {
dh-group 5
encryption aes256
hash sha1
}
}
ipsec-interfaces {
interface pppoe0
interface eth3
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
site-to-site {
peer xx.xx.xx.xx {
authentication {
mode pre-shared-secret
pre-shared-secret xxxxxxxxxxxx
}
connection-type initiate
ike-group IKE_xx.xx.xx.xx
local-address xx.xx.xx.xx
vti {
bind vti64
esp-group ESP_xx.xx.xx.xx
}
}
}
}
}
Интерфейс vti64 показывает статус up, если выполнить команду show interfaces на USG4:
vti64 - u/u
Версия конфигурации управления:
unifi {
mgmt {
cfgversion fa8ec0e42a4c9e5a
}
}
Есть идеи, куда копать и что попробовать, чтобы это наконец заработало?
Однако, когда пытаюсь сходить в обратную сторону — с удалённого сайта в основные подсети — USG4, кажется, отправляет весь трафик через PPPoE-соединение вместо IPsec-туннеля. При этом, если выполнить PING/Traceroute прямо с USG4 при входе в систему, он работает, только не через локальную LAN.
Копаясь в конфигурации, вижу, что маршруты вроде бы есть:
protocols {
static {
interface-route 0.0.0.0/0 {
next-hop-interface pppoe0 {
}
}
interface-route 192.168.250.0/24 {
next-hop-interface vti64 {
distance 30
}
}
interface-route 192.168.251.0/24 {
next-hop-interface vti64 {
distance 30
}
}
table 1 {
interface-route 0.0.0.0/0 {
next-hop-interface pppoe0 {
}
}
}
table 2 {
route 0.0.0.0/0 {
next-hop 0.0.0.0 {
}
}
}
}
}
Я также проверил и сравнил конфигурационные файлы с другими рабочими удалёнными сайтами — разницы, кроме изменений подсетей между сайтами, не вижу. Пробовал полностью удалять Site-to-site сеть и заново настраивать конфиг — в любом случае трафик всё равно идёт через WAN.
IPsec VPN настроен в контроллере (так же, как и рабочие) с включённой динамической маршрутизацией. Хотел сделать так, чтобы не приходилось создавать индивидуальный .json файл для каждого сайта.
vpn {
ipsec {
auto-firewall-nat-exclude enable
esp-group ESP_xx.xx.xx.xx {
compression disable
lifetime 3600
mode tunnel
pfs enable
proposal 1 {
encryption aes256
hash sha1
}
}
ike-group IKE_xx.xx.xx.xx {
key-exchange ikev1
lifetime 28800
proposal 1 {
dh-group 5
encryption aes256
hash sha1
}
}
ipsec-interfaces {
interface pppoe0
interface eth3
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
site-to-site {
peer xx.xx.xx.xx {
authentication {
mode pre-shared-secret
pre-shared-secret xxxxxxxxxxxx
}
connection-type initiate
ike-group IKE_xx.xx.xx.xx
local-address xx.xx.xx.xx
vti {
bind vti64
esp-group ESP_xx.xx.xx.xx
}
}
}
}
}
Интерфейс vti64 показывает статус up, если выполнить команду show interfaces на USG4:
vti64 - u/u
Версия конфигурации управления:
unifi {
mgmt {
cfgversion fa8ec0e42a4c9e5a
}
}
Есть идеи, куда копать и что попробовать, чтобы это наконец заработало?