Как разрешить трафик трафик между несколькими тоннелями IPSec?

Konstanti

@dimm56
1 создать дополнительную фазу 2
2 использовать бинат в фазе 2 ( по ссылке откуда пытались поправить vpn.inc есть ссылка как это сделать )

dimm56

И снова здравствуйте)))) Спасибо, что вы тут)))
По порядку, вторая запись Ф2:
Локальная сеть - мой мобильный Ipsec тоннель 10.0.200.0
Трансляция NAT/BINAT - моя локальная сеть 192.168.6.0
Удаленная Сеть - сеть тоннеля в котором создаем Ф2, например 10.0.1.0

Правильно?

Konstanti

@dimm56
Это два разных решения
1 решение
добавляем фазу 2 с обеих сторон туннеля (сеть openvpn-сеть за модемом)
2 решение
используем бинат для openvpn сетей с одной стороны туннеля ( сторона PF, модемы не трогаем)

dimm56

OpenVPN нет.... Все висят на IPSec тоннелях...

Konstanti

@dimm56 Разницы нет тут ipsec или openvpn
1 путь 2 фазы2 между точками
2 путь 2фазы2 со стороны pf и 1 фаза2 со стороны модема ( по ссылке все есть)

dimm56

Понял, принял. Буду пробовать.

dimm56

На примере тоннеля 10.0.43.0:
Фаза 2 запись 1 (в локальную сеть)

Работает

Фаза 2 запись 2 (в тоннель 10.0.200.0 через локалку 192.168.6.0)

Не работает...

Что я сделал не так?

Konstanti

@dimm56
Покажите фазу 2 мобильных клиентов (10.0.200.0 , которые)
и правила на ipsec интерфейсе

dimm56

Konstanti

@dimm56
У Вас мобильные клиенты имеют доступ только к сети 192.168.6.0/24 и больше не к чему. Про сеть 10.0.43.0/24 они ничего не знают

dimm56

Хорошо. Что и куда надо прописать? Или вместо Lan subnet сделать Сеть 0.0.0.0?

Konstanti

@dimm56

все зависит от ваших хотелок и потребностей

dimm56

Хотела одна - трафик между тоннелями)))

Konstanti

@dimm56
Суть не в этом , а в том , что Вы получите на выходе
Если укажите Local Network - Lan subnet (то доступ будет только к 192.168.X.X)
Укажите 0.0.0.0/0 - то ВЕСЬ трафик мобильного клиента пойдет через туннель.

dimm56

Постоянно в тоннели 10.0.200.0 клиенты весеть не будут. Подключение - по необходимости. Зашли, посмотрели, вышли. ВЕСЬ трафик в процессе работы тоннеля - трафик видеонаблюдения.

Konstanti

@dimm56
Тогда и настраиваете туннель так , как нужно для работы
попробуйте для начала указать 0.0.0.0/0 и посмотрите , что будет
Весь трафик пойдет в туннель только на время подключения

dimm56

Попробовал. Не пошло. Никуда на подключаемся... Ни Лан 192.168.6.0 ни ipsec 10.0.0.0....

Konstanti

@dimm56 Такие тексты надо сопровождать картинками настроек фазы 2 мобильного клиента . Покажите , как настраиваете

dimm56

Всем привет. извиняюсь за отсутствие, производственная необходимость...

по порядку
Настройка мобильных клиентов
Мобильные клиенты.png
Фаза 1 Мобильных клиентов:
Фаза 1 мобильные.png
Фаза 2 Мобильных клиентов:
Фаза 2 моильные.png
Т.е. при подключении получают адрес из сети 10,0,200,0 и смотрят в сети 0,0,0,0
На примере одного тоннеля, он имеет 2 записи фазы 2:
Тоннель 2 фазы.png
Первая ведет в локальную сеть 192.168.6.0
Тоннель Ф2 1 запись.png
Вторая в тоннель мобильных клиентов 10.0.200.0 через локальную сеть 192.168.6.0
Тоннель Ф2 2 запись.png
Притакой конфигурации из тоннеля 10.0.200.0 не видно ничего, но если поменять сеть 0.0.0.0 на локальную 192.168.6.0, то тогда есть доступ к ресурсам локальной сети.

Konstanti

@dimm56 Вам бы теорию потянуть. Я Вам как советовал сделать? И по ссылке из доков.
Напоминаю,
0.0.0.0/0
А у Вас??