Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec VPN. Проблема с маршрутизацией. such policy already exists. anyway replace

    Scheduled Pinned Locked Moved Russian
    4 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Groof
      last edited by

      Доброе.
      Может кто в курсе, как решить следующую проблему: Есть железка dsr-500 и pfsense. На обоих настроен IPsec VPN, там ведь достаточно все просто. IPsec поднимается и  даже трафик какой-то идет, но работает как то криво, на обоих железках отсутствует маршруты в сети за железками.

      В логах dsr-500, ошибок нету, а вpfsense ошибки:
      racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.10.0/24[0] proto=any dir=out
      racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.1/32[0] 192.168.1.0/24[0] proto=any dir=out
      racoon: ERROR: such policy already exists. anyway replace it: 192.168.10.0/24[0] 192.168.1.0/24[0] proto=any dir=in
      racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.1.1/32[0] proto=any dir=in

      Пробовал менять режимы работы с aggressive на main. Но результат один, нету соответствующих маршрутов в таблице маршрутизации.

      ipsec-00.png_thumb
      ipsec-00.png

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        1. dsr-500 - обновите прошивку до последней
        2. Если у вас теже условия , то :

        Dynamic to static in agressive mode works with the enabled option on the static side "allow mobile clients".

        3. http://www.heitorlessa.com/site-to-site-vpn-pfsense-and-amazon-vpc/
        4.

        Are you trying to do NAT T. In other words are your trying to establish a tunnel from behind an already NATTED device. If so you will need to forward esp

        И да, вы там руками маршрут случаем не добавляли в Routing-е ? Удалите.

        1 Reply Last reply Reply Quote 0
        • G
          Groof
          last edited by

          @werter:

          1. dsr-500 - обновите прошивку до последней

          Стоит последняя доступная: 1.09B58_WW

          @werter:

          2. Если у вас теже условия , то :

          Dynamic to static in agressive mode works with the enabled option on the static side "allow mobile clients".

          Не совсем понял, насчет те же условия и не понимаю пока откуда взялся этот Dynamic. На обоях железках статика, разве что на pfsense резервный канал на pppoe, но там тоже статика.

          @werter:

          3. http://www.heitorlessa.com/site-to-site-vpn-pfsense-and-amazon-vpc/

          Как уже указывал выше, что перевод в режим main, результата не дает, разве что ошибок при старте pfsebse в логе нету, но после перезапуска службы появляются.  В плане настойки pfsense, аналогично.

          racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.10.0/24[0] 192.168.1.0/24[0] proto=any dir=in
          racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.10.0/24[0] proto=any dir=out
          racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.1.1/32[0] proto=any dir=in
          racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.1.1/32[0] 192.168.1.0/24[0] proto=any dir=out

          4.

          Are you trying to do NAT T. In other words are your trying to establish a tunnel from behind an already NATTED device. If so you will need to forward esp

          Этот момент не понятен, включение и отключение NAT-T в настройках результата не дает, но в логах упоминается: used for NAT-T

          @werter:

          И да, вы там руками маршрут случаем не добавляли в Routing-е ? Удалите.

          Руками нечего не задавал.

          ipsec-01.png
          ipsec-01.png_thumb
          ipsec-00.png
          ipsec-00.png_thumb

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Этот момент не понятен, включение и отключение NAT-T в настройках результата не дает, но в логах упоминается: used for NAT-T

            Неверно понимаете. Речь идет о том, что один из концов туннеля смотрит в Интернет не на прямую, а находясь за каким-то устройством.
            Роутер не стоИт перед одним из концов вашего туннеля? Провайдер вам случаем не выдает серый "адрес" при подключении ?

            Проверьте эти моменты.

            P.s. Покажите скрин NAT (Outbound).

            P.p.s. И да, прошивка для вашего д-линка не последняя. Смотрите здесь - http://tsd.dlink.com.tw/. И добавьте в закладки.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.