USG в Azure через динамический VPN — нет трафика на версии 5.0.6

RSS

USG в Azure через динамический VPN — нет трафика на версии 5.0.6, UniFi Network

jpda

Guest

04.06.2016 16:49:00

Я выложил это в бета-форуме по беспроводным сетям (так как отдельного бета-форума для RS нет), но проблема сохраняется и в релизе 5.0.6, поэтому решил попробовать здесь. У меня на USG запущены бета 5.0.2 и релиз 5.0.6. Я пытался использовать изменения в интерфейсе для создания шлюза, который отображается как подключённый и в Azure, и на USG, но трафик через него не идёт. Вот конфигурация:

auto-firewall-nat-exclude enable
esp-group ESP_GATEWAY {
compression disable
lifetime 3600
mode tunnel
pfs enable
proposal 1 {
encryption aes256
hash sha1
}
}

ike-group IKE_GATEWAY {
key-exchange ikev2
lifetime 28800
proposal 1 {
dh-group 2
encryption aes256
hash sha1
}
}

ipsec-interfaces {
interface eth0
}

nat-networks {
allowed-network 0.0.0.0/0 { }
}

nat-traversal enable

site-to-site {
peer <GATEWAY IP> {
authentication {
mode pre-shared-secret
pre-shared-secret LOL
}
connection-type initiate
ike-group IKE_GATEWAY
local-address <LOCAL IP>
vti {
bind vti64
esp-group ESP_GATEWAY
}
}
}

Я не добавлял никаких правил NAT или ACL для фаервола (пробовал и с ними, и без них, но результата нет, поэтому откатился обратно). Но мне интересно, что значит auto-firewall-nat-exclude enable — не исключает ли это необходимость добавлять ACL и NAT?

Если посмотреть show vpn debug, туннель есть, но там указано 0.0.0.0/0 === 0.0.0.0/0. Нужно ли мне вручную добавлять маршрут?

peer-peer_ip-tunnel-vti: local_ip...peer_ip
peer-peer_ip-tunnel-vti: local: [local_ip] использует аутентификацию по предустановленному ключу
peer-peer_ip-tunnel-vti: remote: [peer_ip] использует любую аутентификацию
peer-peer_ip-tunnel-vti: child: 0.0.0.0/0 === 0.0.0.0/0

Маршрутизируемые соединения:
peer-peer_ip-tunnel-vti{1}: ROUTED, TUNNEL
peer-peer_ip-tunnel-vti{1}: 0.0.0.0/0 === 0.0.0.0/0

Ассоциации безопасности:
peer-peer_ip-tunnel-vti[9]: УСТАНОВЛЕНО 25 минут назад, local_ip[local_ip]...peer_ip[peer_ip]
peer-peer_ip-tunnel-vti[9]: IKE SPIs: ...SNIP..., повторная аутентификация предустановленного ключа через 7 часов
peer-peer_ip-tunnel-vti[9]: IKE предложение: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
peer-peer_ip-tunnel-vti{7}: УСТАНОВЛЕНО, TUNNEL, ESP SPIs: ...SNIP...
peer-peer_ip-tunnel-vti{7}: AES_CBC_256/HMAC_SHA1_96, 0 байт входящих, 22139 байт исходящих (7 секунд назад), обновление ключей через 25 минут
peer-peer_ip-tunnel-vti{7}: 0.0.0.0/0 === 0.0.0.0/0

И маршруты:

Коды: K - маршрут ядра, C - подключённый, S - статический, R - RIP, O - OSPF, I - ISIS, B - BGP, > - выбранный маршрут, * - маршрут FIB
S>* 0.0.0.0/0 [210/0] via 75.x.x.x, eth0
C>* 10.10.10.0/24 напрямую подключён, eth1
S>* 10.10.20.0/23 [30/0] напрямую подключён, vti64
C>* 75.x.x.x/19 напрямую подключён, eth0
C>* 127.0.0.0/8 напрямую подключён, lo

Ответы

SBS210 Guest	#21 13.12.2016 04:20:00 Я просто не могу заставить своё устройство подключиться, хоть убей. В Azure видно, что данные приходят, но ни одного исходящего пакета. В USG наоборот — данные уходят, но ничего не приходит. Я совсем запутался. Создал правила брандмауэра, разрешающие всё, на всякий случай. И ike, и ipsec показывают состояние «up». Azure NSG ни с чем не связан. ipsec { auto-firewall-nat-exclude enable esp-group ESP_fakeip { compression disable lifetime 3600 mode tunnel pfs disable proposal 1 { encryption aes256 hash sha1 } } ike-group IKE_fakeip { key-exchange ikev2 lifetime 28800 proposal 1 { dh-group 2 encryption aes256 hash sha1 } } ipsec-interfaces { interface eth0 } nat-networks { allowed-network 0.0.0.0/0 { } } nat-traversal enable site-to-site { peer fakeip { authentication { mode pre-shared-secret pre-shared-secret secret } connection-type initiate ike-group IKE_fakeip local-address fakeip tunnel 0 { esp-group ESP_fakeip local { prefix 192.168.1.0/24 } remote { prefix 172.16.100.0/24 } } } } }

Читают тему (гостей: 1)