Сайт-сайт VPN USG — трафик не маршрутизируется

Сайт-сайт VPN USG — трафик не маршрутизируется, UniFi Network

sdm1130

Guest

30.12.2016 04:54:00

Я пытаюсь настроить site-to-site VPN между двумя USG (с подсетями 10.0.1.0/24 и 10.1.1.0/24), которыми управляет один контроллер. Просто выбираю тип VPN «auto». USG вроде как соединяются (если посмотреть сети на каждом USG, вижу site-to-site VPN с адресом 10.255.254.1 на одной стороне и 10.255.254.2 на другой), но пинговать устройства с другой сети не получается. Пробовал настраивать статические маршруты вручную с обеих сторон — эффекта нет. Может, что-то упускаю? Вот логи с основного USG (того, где настраиваю соединение):

Dec 29 22:29:49 USG-Houston netplugd[572]: vti0: игнорирую событие
Dec 29 22:29:49 USG-Houston zebra[680]: интерфейс vti0 индекс 13 <POINTOPOINT,NOARP> добавлен.
Dec 29 22:29:49 USG-Houston zebra[680]: предупреждение: PtP интерфейс vti0 с адресом 10.255.254.1/32 требует адрес пира
Dec 29 22:29:49 USG-Houston zebra[680]: mtu интерфейса vti0 изменено с 1500 на 1436
Dec 29 22:29:49 USG-Houston netplugd[572]: vti0: игнорирую событие
Dec 29 22:29:52 USG-Houston charon: 00[DMN] Запуск демона IKEv2 charon (strongSwan 4.5.2)
Dec 29 22:29:52 USG-Houston charon: 00[KNL] прослушивание интерфейсов:
Dec 29 22:29:52 USG-Houston charon: 00[KNL] eth0
Dec 29 22:29:52 USG-Houston charon: 00[KNL] xx.xx.xx.xx (публичный IP хоста)
Dec 29 22:29:52 USG-Houston charon: 00[KNL] eth1
Dec 29 22:29:52 USG-Houston charon: 00[KNL] 10.0.1.1
Dec 29 22:29:52 USG-Houston charon: 00[KNL] imq0
Dec 29 22:29:52 USG-Houston charon: 00[KNL] eth1.100
Dec 29 22:29:52 USG-Houston charon: 00[KNL] 10.0.100.1
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загрузка CA-сертификатов из '/etc/ipsec.d/cacerts'
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загрузка AA-сертификатов из '/etc/ipsec.d/aacerts'
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загрузка OCSP-сертификатов из '/etc/ipsec.d/ocspcerts'
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загрузка атрибутных сертификатов из '/etc/ipsec.d/acerts'
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загрузка CRL из '/etc/ipsec.d/crls'
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загрузка секретов из '/etc/ipsec.secrets'
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загружен IKE-секрет для xx.xx.xx.xx (публичный IP хоста) xx.xx.xx.xx.(публичный IP удалённого)
Dec 29 22:29:52 USG-Houston charon: 00[CFG] sql плагин: URI базы данных не задан
Dec 29 22:29:52 USG-Houston charon: 00[LIB] плагин 'sql': не удалось загрузить - sql_plugin_create вернул NULL
Dec 29 22:29:52 USG-Houston charon: 00[CFG] загружено 0 конфигураций RADIUS сервера
Dec 29 22:29:52 USG-Houston charon: 00[CFG] в HA конфигурации отсутствуют локальный/удалённый адрес
Dec 29 22:29:52 USG-Houston charon: 00[LIB] плагин 'ha': не удалось загрузить - ha_plugin_create вернул NULL
Dec 29 22:29:52 USG-Houston charon: 00[DMN] загруженные плагины: test-vectors curl ldap aes des sha1 sha2 md5 random x509 revocation constraints pubkey pkcs1 pgp pem openssl fips-prf gmp agent pkcs11 xcbc hmac ctr ccm gcm attr kernel-netlink resolve socket-raw farp stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc dhcp addrblock
Dec 29 22:29:52 USG-Houston charon: 00[JOB] запущено 16 рабочих потоков
Dec 29 22:29:52 USG-Houston charon: 03[CFG] получена команда: добавить соединение 'peer-(публичный IP удалённого)-tunnel-vti'
Dec 29 22:29:52 USG-Houston charon: 03[CFG] добавлена конфигурация 'peer-(публичный IP удалённого)-tunnel-vti'
Dec 29 22:29:54 USG-Houston mca-monitor: mca-monitor.do_monitor(): mcad.setparam выполняется, прошло 39 сек (макс=960)
Dec 29 22:29:54 USG-Houston zebra[680]: интерфейс vti0 индекс 13 изменён <UP,POINTOPOINT,RUNNING,NOARP>.
Dec 29 22:29:54 USG-Houston netplugd[572]: vti0: игнорирую событие
Dec 29 22:29:56 USG-Houston ntpd[2405]: Прослушивание на 17 vti0 10.255.254.1 UDP 123
Dec 29 22:30:00 USG-Houston mcad: ace_reporter.reporter_handle_response(): [setparam] применение system.cfg завершено

В общем, вроде VPN установился, но пинги в другую сеть не проходят. Что можно проверить или добавить?

AMN Guest	#2 06.06.2017 09:27:00 @tickett, не мог бы ты прислать нам команду "show vpn" с устройства, на котором это работает?

csveva Guest	#3 20.03.2018 06:32:00 Кто-нибудь из вас пробовал решение, описанное по этой ссылке? https://community.ui.com/questions/dc3a689e-9bd0-4b03-933e-d4372114862d#answer/49ff3f5e-1689-468f-9473-f54fc932d449 или вот это: https://community.ui.com/questions/ca2af37a-ff22-4b3b-9f15-ebb07d51c2e1#answer/3ac86ba7-7899-4ac8-acdc-eee3be511f46

KjetilPP Guest	#4 18.03.2018 01:12:00 Есть?

Danny_Campbell Guest	#5 14.02.2018 15:53:00 Я всё ещё сталкиваюсь с этой проблемой на живом сайте. Кто-нибудь уже решил её?

Kick4U Guest	#6 09.12.2017 18:44:00 напомню

ilponiva

Guest

09.08.2017 21:20:00

Я решил оставить Auto Site to Site VPN, потому что на обоих сайтах динамический IP. После изучения материала понял, что в случае смены IP контроллер уведомит об этом в Auto Site to Site, но естественно не в ручном режиме. Оба сайта (на одном контроллере) показывают один активный туннель на панели, но между сайтами нет трафика.

/var/log/messages при создании VPN-туннеля:
Aug 9 14:09:45 USGSFO zebra[632]: interface vti0 index 13 <POINTOPOINT,NOARP> added.
Aug 9 14:09:46 USGSFO zebra[632]: warning: PtP interface vti0 with addr 10.255.254.1/32 needs a peer address
Aug 9 14:09:46 USGSFO zebra[632]: interface vti0 mtu changed from 1500 to 1436
Aug 9 14:09:46 USGSFO zebra[632]: interface vti0 index 13 changed <UP,POINTOPOINT,RUNNING,NOARP>.
Aug 9 14:09:54 USGSFO xl2tpd[23028]: death_handler: Fatal signal 15 received
Aug 9 14:09:54 USGSFO xl2tpd[32170]: setsockopt recvref[30]: Protocol not available
Aug 9 14:10:01 USGSFO mcad: libubnt_util.get_iface_ip(): ioctl SIOCGIFADDR failed
Aug 9 14:10:01 USGSFO mcad: dpi.dpi_pktinfo_send(): failed to send UGW wevent (len:72), Network is unreachable

frav

Guest

03.08.2017 20:38:00

Ошибка: указанный файл shared-secret-key не действителен. Попробуйте создать валидный секретный ключ OpenVPN, подключившись по SSH к вашему USG и выполнив эти две команды:
generate vpn openvpn-key /config/auth/secret
sudo cat /config/auth/secret

Первая команда создаёт файл с именем «secret», в котором хранится общий ключ. Вторая команда выводит этот ключ.
Скопируйте текст ключа, например, в блокнот.
Удалите строки -----BEGIN OpenVPN Static key V1----- и -----END OpenVPN Static key V1-----, а также убедитесь, что убрали все переносы строк, чтобы ключ был записан в одну строку. Затем вставьте полученный ключ в поле «Shared Secret Key» в интерфейсе контроллера.

ilponiva

Guest

03.08.2017 16:03:00

У меня настроен Auto Site-to-Site VPN, а также Remote User VPN (L2TP) для обоих сайтов A и B. Я попробовал вручную настроить Site-to-Site OpenVPN, предварительно удалив Auto Site-to-Site, разумеется. Но это тоже, похоже, не сработало. Он долго "настраивался", а потом я получил одинаковое сообщение об ошибке на обоих сайтах — Configuration commit error. Сообщение об ошибке: { "COMMIT" : { "error" : "\ufffe[ interfaces openvpn vtun64 ]\nOpenVPN configuration error: Specified shared-secret-key-file \"/config/auth/secret_593cd7e8ee3703b0ceab4c52_5983438de4b0bb396ea1a552\" is not valid.\n\n\uffff0\nCommit failed\n" , "failure" : "1" , "success" : "1"} , "DELETE" : { "failure" : "0" , "success" : "1"} , "SESSION_ID" : "e1b8c3b1dc5e62c58dec0dc12d" , "SET" : { "failure" : "0" , "success" : "1"}}----

depasseg Guest	#10 03.08.2017 14:27:00 Случайно у вас не настроены одновременно и Auto VPN, и Manual VPN? Я заметил, что когда настраиваешь Manual, автоотключение происходит, но на панели всё равно отображается как подключённое.

ilponiva

Guest

#11

03.08.2017 13:57:00

У меня такая же проблема. Версия контроллера 5.5.19. В панели управления показано, что VPN-туннель активен на сайтах A и B, но трафик не передается. На обоих сайтах работает Remote User VPN (L2TP), и я могу к ним подключаться и получать трафик. Причина, по которой я переключился на Unifi — чтобы проще соединять сайты...

-sg Guest	#12 18.07.2017 18:03:00 Просто хотел узнать, удалось ли вам что-то с этим сделать. У меня версия 5.5.19, на моём Cisco ASA есть соединение, но трафика нет совсем, пинг не проходит. Использую USG и Cisco ASA.

tickett

Guest

#13

06.06.2017 18:16:00

один конец... admin@OfficeRouter# show vpn
ipsec {
auto-firewall-nat-exclude включено
esp-group ESP0 {
сжатие отключено
время жизни 3600
режим туннель
pfs включено
предложение 1 {
шифрование aes256
хэш sha1
}
}
ike-group IKE0 {
обмен ключами ikev1
время жизни 28800
предложение 1 {
группа dh 14
шифрование aes256
хэш sha1
}
}
ipsec-интерфейсы {
интерфейс pppoe0
интерфейс eth3
}
nat-сети {
разрешённая-сеть 0.0.0.0/0 {
}
}
nat-проброс включён
site-to-site {
peer ***other_external_ip*** {
аутентификация {
режим pre-shared-secret
pre-shared-secret ***encrypted_secret***
}
тип подключения initiate
ike-group IKE0
локальный-адрес ***this_external_ip***
vti {
привязка vti0
esp-group ESP0
}
}
}
} другой конец...admin@HomeRouter# show vpn
ipsec {
auto-firewall-nat-exclude включено
esp-group ESP0 {
сжатие отключено
время жизни 3600
режим туннель
pfs включено
предложение 1 {
шифрование aes256
хэш sha1
}
}
ike-group IKE0 {
обмен ключами ikev1
время жизни 28800
предложение 1 {
группа dh 14
шифрование aes256
хэш sha1
}
}
ipsec-интерфейсы {
интерфейс eth0
}
nat-сети {
разрешённая-сеть 0.0.0.0/0 {
}
}
nat-проброс включён
site-to-site {
peer ***other_external_ip*** {
аутентификация {
режим pre-shared-secret
pre-shared-secret ***encrypted_secret***
}
тип подключения initiate
ike-group IKE0
локальный-адрес ***this_external_ip***
vti {
привязка vti0
esp-group ESP0
}
}
}
}

AMN

Guest

#14

02.06.2017 13:36:00

Итак, мы столкнулись с точно такой же проблемой, и я нашёл в логах следующее, выполнив команду: show log tail
Jun 2 15:30:07 DWA-USG1 mcad: libubnt_util.ubnt_json_integer_value_from_string(): нет строки для obj_name peer-xxx.xxx.xxx.xxx-tunnel-vti, ключ _lifetime
Jun 2 15:30:07 DWA-USG1 mcad: libubnt_util.ubnt_json_integer_value_from_string(): нет строки для obj_name peer-xxx.xxx.xxx.xxx-tunnel-vti, ключ _expire

Worxsafe

Guest

#15

16.03.2017 11:21:00

Хмм, я давал этой проблеме отлежаться, но больше терпеть не могу. Вот моя задача:
Site1 — статический IP (штаб-квартира)
Site2 — динамический IP
Site3 — динамический IP, двойной NAT

Есть ли хоть малейший шанс настроить рабочий VPN с помощью USG, или мне нужно будет перейти на что-то более дорогое (например, Fortigate)?
Ещё нужна возможность для пользователей подключаться к Site1 через VPN.

Есть идеи, советы от сообщества?

jdtemple911

Guest

#16

16.03.2017 02:47:00

Пытался сделать это и получил тот же результат. Интерфейс виден, могу пинговать локально с каждой стороны USG, но не через него. Ещё одна странность — моя гостевая сеть появилась в таблице маршрутизации, чего я не ожидал. Использую ту же гостевую подсеть на всех объектах, и если это действительно работает, то это было бы проблемой.

Menel

Guest

#17

12.02.2017 12:52:00

🙁 Я был оптимистично настроен насчёт продуктов Ubiquiti. Поскольку это всего лишь тестовый развертывание. Может, вот и всё, быстрый тупик, но ещё есть время вернуть. Но я всё же подозреваю, что виноват мой провайдер 😠 ай-ай-ай.

spacecosmos Guest	#18 12.02.2017 05:46:00 Нет, я не думаю, что вопрос решён. Мы выбрали другое решение, которое знаем, что работает, и вернули USG. Пробовали и USG‑PRO‑4, и обычный USG — результат один и тот же.

Menel Guest	#19 11.02.2017 23:01:00 Вы что-нибудь выяснили? Раньше даже подключиться нормально не получалось. Ушел на ужин, вернулся — и всё заработало. А теперь как у вас — подключено, но нет трафика, никакого пинга. Неделю назад всё работало без проблем. Вот так вот!

Читают тему (гостей: 1)