Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Автоматический IPSEC VPN и пинг между роутерами, UniFi Network
 
#1
12.11.2017 16:06:00
Router A (USG4) (192.168.16.254) <–ipsec auto vpn–> Router B (USG3) (192.168.0.1)

При использовании auto VPN (vti интерфейсы) нельзя пропинговать LAN-адрес Router A с Router B, и наоборот. Как сделать так, чтобы это работало?

Router A vti0 – 10.255.254.1  
Router B vti0 – 10.255.254.2

Router A, пингуя Router B по адресу 192.168.0.1

На Router A:  
На vti0 (vpn) я вижу echo-запросы с 10.255.254.1 на 192.168.0.1.  
Ответов на vti0 или eth2 (wan) не наблюдается.

На Router B:  
На vti0 (vpn) я вижу echo-запросы с 10.255.254.1 на 192.168.0.1.  
На eth0 (wan) вижу echo-ответы с 192.168.0.1 на 10.255.254.1.

Та же картина, но наоборот, если пинговать Router B с Router A.

Если использовать туннель не через vti (ручной ipsec vpn), пинг работает отлично.

Хочу иметь возможность пинговать LAN IP Router B прямо с Router A, используя auto ipsec vpn (типа routed vti).

Какие маршруты и другие настройки нужно добавить, чтобы разрешить Router A пинговать LAN IP Router B?

Используйте — мониторинг VPN-соединения и автоматическую коррекцию при сбоях.
 
 
 
#2
03.01.2018 19:01:00
Ага, теперь понятно. Я даже не стал проверять, /30 это или нет — по ошибке подумал, что именно /30. Жду с нетерпением «исправления» этой штуки в будущем. Пока что придется довольствоваться ручными IPSec VPN между USG (да еще и терпеть красный виджет VPN, который говорит, что он упал, хотя на самом деле нет, ха-ха). Спасибо!
 
 
 
#3
03.01.2020 07:59:00
Для первичной настройки устройства необходим вход в роутер Netgear. Если у вас возникли проблемы с этой страницей, то этот блог поможет шаг за шагом пройти процесс входа на routerlogin.net.
 
 
 
#4
05.03.2019 19:24:00
@cchatterjee

Так как эта тема устарела и отмечена как решённая, для будущих вопросов такого рода лучше создать новую тему. Поле "USW required" должно стоять только у типа сети "vlan only", и это правильно. VLAN Only просто добавляет VLAN ID в базу данных VLAN на USW, и это никак не влияет на стабильность вашего VPN с AWS. Обычно VPN разрывается, если в туннеле не происходит активного трафика, и когда истекает время жизни фазы 2 (по умолчанию 3600 секунд).
 
 
 
#5
05.03.2019 18:34:00
Привет! Я никогда не знаю, куда лучше всего публиковать свои «слегка не по теме» вопросы, так что прошу прощения, если это следовало разместить в другом месте! Несколько месяцев у меня настроен site-to-site VPN через UniFi «Auto IPSec» на сервере AWS с Ubuntu, который связывает два USG, и в целом проблем почти не было. Но недавно на одном из участков VPN периодически отключается без видимых причин, обычно (но не всегда) связь потом восстанавливается. Перезагрузка USG на проблемном участке сразу возвращает VPN. Сегодня я обновил контроллер до версии 5.10.19, надеясь, что это поможет, но заметил странность... на проблемном участке в разделе Networks в настройках VPN в поле Purpose теперь отображается «USW Required». На основном, без проблем, участке USW действительно подключён, и там такого сообщения нет, причём я клянусь, что раньше его не видел. Я покопался на сайте ubnt, но не нашёл никаких упоминаний об этом требовании. Так вот, нужно ли мне добавить USW на меньший участок, или новая версия контроллера просто подгоняет меня купить ещё железа от Ubiquiti? Заранее спасибо!
 
 
 
#6
03.01.2018 18:45:00
По умолчанию это не сработает из-за того, как настроен VTI. VTI настроен на USG с адресами /32 и интерфейсным маршрутом.

Когда вы пингуете с роутера А в LAN роутера B:
исходный IP: 10.255.254.1
адрес назначения: 192.168.0.1

Роутер А найдёт маршрут в таблице и корректно отправит ICMP echo request через интерфейсный маршрут, но когда роутер B получит этот пакет и попробует ответить, у него не будет маршрута обратно к 10.255.254.1. Роутер А всегда будет использовать адрес VTI как исходящий IP, так как это сеть «прямого подключения».

В будущем мы планируем назначать адреса VTI с префиксом /30, чтобы избежать этой проблемы, а также улучшить работу OSPF и других протоколов. Мы уже один раз вносили такое изменение, но столкнулись с неожиданными трудностями, над которыми сейчас работают.

Если вам абсолютно необходимо, чтобы это работало сейчас, вы можете добавить статический маршрут на сеть 10.255.254.0/24 с указанием выхода через vti0 на обоих роутерах. Но сделать это нужно через config.gateway.json, так как в GUI сейчас есть известное ограничение на выбор VPN-интерфейсов в качестве интерфейсных маршрутов.
 
 
 
#7
03.01.2018 16:43:00
Пробовал, ничего не вышло.
 
 
 
#8
03.01.2018 16:17:00
Случайно не настроены ли у вас правила файрвола, которые блокируют подключение приватных IP к приватным IP? Также можно попробовать сделать пинг с конкретного источника: sudo ping -I <interface.vlan> 192.168.0.1

Физический интерфейс зависит от того, где находится ваш LAN-интерфейс. На USG4 это будет eth0, если вы не используете LAN2. Если сеть, с которой вы пытаетесь сделать пинг, не в VLAN, просто используйте eth0. Если, к примеру, у вас VLAN 5, команда будет выглядеть так: eth0.5.

Убедитесь, что пинг идет с сети, которой разрешено проходить через VPN. 😀

Надеюсь, это поможет. Если нет — не стесняйтесь задавать любые другие вопросы.
 
 
 
#9
03.01.2018 15:05:00
Хорошо. Это использование автоматического VPN UniFi USG.
 
 
 
#10
03.01.2018 14:26:00
Если всё настроено правильно, вы должны иметь возможность пинговать внутренние IP-адреса роутеров. У меня есть Edge Routers, и я настроил несколько VTI ipsec туннелей. Проблем с пингом нет.
 
 
 
#11
03.01.2018 14:00:00
Думаю, ты неправильно понял суть проблемы. VPN работает нормально. Просто я не могу пропинговать LAN-адрес Router A с CLI Router B, и наоборот. Мне нужно иметь возможность пинговать маршрутизатор напрямую с другого.
 
 
 
#12
03.01.2018 13:40:00
Ты смотрел это руководство? В нем есть пример конфигурации для USG... https://help.ubnt.com/hc/en-us/articles/115010928727-EdgeRouter-IPsec-Route-Based-VTI-Site-to-Site-VPN-to-USG
 
 
 
#13
03.01.2018 12:46:00
Похоже, ты не приложил текст для перевода. Пожалуйста, отправь сообщение, и я выполню перевод согласно твоим указаниям.
 
 
 
#14
04.12.2017 12:15:00
Пожалуйста, предоставьте текст для перевода.
 
 
 
Страницы: 1
Читают тему (гостей: 1)