Не удается пропинговать шлюз в VPN IPSec Site-to-Site.

Не удается пропинговать шлюз в VPN IPSec Site-to-Site., UniFi Network

cranstantinople

Guest

04.05.2025 22:22:00

Я настроил IPSec site-to-site VPN, который работает для host-to-host pinging по IP-адресам с обеих сторон VPN, но когда я подключаюсь по SSH к любому шлюзу, я не могу пинговать другой шлюз или какие-либо хосты на другой стороне VPN. Я вижу маршрут для удаленной сети в таблице маршрутизации, но пинг не проходит. Пытаюсь настроить переадресацию DNS Domain, но, поскольку локальный шлюз не может достучаться до удаленного шлюза через VPN, переадресация DNS не будет работать. Переадресация DNS работает как надо, когда используешь site magic, но, к сожалению, мы не можем использовать site magic, так как один шлюз принадлежит клиенту. Сейчас брандмауэр настроен на "Allow All" для: VPN в Internal, VPN в Gateway, Internal в VPN, Gateway в VPN.

berry.claassen Guest	#2 28.06.2025 20:40:00 У меня точно такая же конфигурация и та же проблема сейчас. Могу пинговать всё нормально с хостов, но не с Gateway. И DNS-пересылка на Gateway на DNS-сервер VPN не работает.

cranstantinople

Guest

11.06.2025 14:02:00

@MichelZ Спасибо за ответ! Прошу прощения за задержку, я вообще не получал уведомлений о ответах. Но очень благодарен! Решил бы назначение "Tunnel IP" эту проблему? Я просто не уверен, какой лучший способ назначать IP-адрес интерфейсу. Там написано использовать частный IP-адрес, который не пересекается ни с одной другой сетью. Это значит, что мне нужно использовать совершенно другой IP-адрес, который не входит ни в какую существующую сеть/подсеть, или просто чтобы он сейчас не был IP-адресом, который используется?

MichelZ

Guest

21.05.2025 07:28:00

Я наткнулся на пост на Reddit (к сожалению, не могу здесь ссылку вставить), в котором описан обходной путь. Я выкладываю полный пост с Reddit ниже. Сейчас я выясняю, можно ли это сделать через пользовательский интерфейс или чтобы это сохранилось после перезагрузки.

Спасибо r/Ubiquity /u/pcpcy------------------------
Да, это, скорее всего, по задумке. Вот что я думаю:

Я думаю, что маршруты уже добавлены (можно проверить, набрав ip route и посмотрев, есть ли маршрут vtiXX для IPSec или tunX для OpenVPN).

Однако, я думаю, что проблема в том, что UDMP не назначает IP-адрес для интерфейса site-to-site, поэтому удаленный site-to-site не знает, как маршрутизировать трафик обратно (можно проверить IP на интерфейсе, набрав ip addr show dev vtiXX, например), так как UDMP отправляет пакеты из WAN IP или какого-то UDMP IP из другого подсети.

Что, вероятно, может сработать, так это добавить SNAT для локального трафика UDMP, чтобы все, что от UDMP и не маршрутизируется через интерфейс site-to-site, было SNAT'ено до IP-адреса UDMP в той подсети, которую удаленный site-to-site знает. Например, если удаленный UDMP имеет настроенной подсетью 192.168.2.0/24 в качестве "удаленной подсети" для локального UDMP, а у локального UDMP есть IP-адрес 192.168.2.1 в этой подсети, то можно добавить следующее SNAT через iptables в SSH на локальном UDMP:

iptables -t nat -A POSTROUTING -o vti64 -m addrtype --src-type LOCAL -j SNAT --to 192.168.2.1

Убедитесь, что вы изменили vti64 на правильный интерфейс site-to-site. Тогда связь от UDMP к site-to-site должна заработать.

Я не тестировал это, потому что у меня сейчас нет доступа к site-to-site, но отпишитесь и скажите, сработало ли это!--------------------------

MichelZ Guest	#5 21.05.2025 07:08:00 У меня та же самая конфигурация и та же проблема сейчас. Могу отлично пинговать всё с хостов, но не могу с Gateway. И пересылка DNS с Gateway на DNS-сервер VPN не работает.

Читают тему (гостей: 1)