Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC site-to-site маршрутизация 7-ми подсетей.

    Scheduled Pinned Locked Moved Russian
    24 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • U
      ufd
      last edited by

      @Konstanti said in IPSEC site-to-site маршрутизация 7-ми подсетей.:

      ipsec statusall

      bca57952-790e-4cc7-b481-69128109e761-image.png

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        @werter said in IPSEC site-to-site маршрутизация 7-ми подсетей.:

        Покажите таблицу марш-ции на пф при всех поднятых туннелях.

        1 Reply Last reply Reply Quote 0
        • U
          ufd @Konstanti
          last edited by

          @Konstanti
          в SPDs также все эти сети отображаются.
          если отключить те фазы которые работают после переподключения начинают работать другие две. так что настройки фаервола тут не причем.

          1 Reply Last reply Reply Quote 0
          • U
            ufd
            last edited by

            1cd27c4f-c3f9-4ebc-9ac3-f33ef1e90b1f-image.png

            1 Reply Last reply Reply Quote 0
            • U
              ufd
              last edited by

              на стороне checkpoint вылезает ошибка
              child sa exchange: peer's message is unacceptable

              K 2 Replies Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                @ufd

                Покажите таблицу марш-ции на пф при всех поднятых туннелях.

                Мил человек, последний раз.

                1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @ufd
                  last edited by Konstanti

                  @ufd
                  Давайте , еще раз
                  если оставить , к примеру , 3 любых фазы-2 , то все равно будут работать только 2 туннеля ? верно ?
                  на каком интерфейсе Вы запускали tcpdump ?
                  Попробуйте провести эксперимент , оставляем 3 работающих туннеля и проверяем работу . Если работают все 3 одновременно , то ок , добавляем следующий
                  если работают только два из трех , то запускаем tcpdump вот такой командой
                  tcpdump -netti enc0 host <здесь указываете ip адрес удаленного хоста из неотвечающей сети>

                  если есть трафик , то покажите его тут . Просьба - не надо ничего замазывать , кроме белых ip адресов туннеля

                  1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @ufd
                    last edited by Konstanti

                    @ufd said in IPSEC site-to-site маршрутизация 7-ми подсетей.:

                    child sa exchange: peer's message is unacceptable

                    В догонку
                    Почитал документацию на Checkpoint

                    В ней указано , что на устройстве может быть включен режим
                    One VPN tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets,
                    subsequent sessions between the same subnets will share the same VPN tunnel. This is the
                    default setting and is compliant with the IPSec industry standard.

                    если я правильно понял , один туннель на пару подсетей ( похоже на Ваш случай )

                    есть другой режим работы
                    One VPN tunnel per each pair of hosts- A VPN tunnel is created for every session initiated
                    between every pair of hosts

                    Возможно , что это то , что Вам нужно
                    ссылка (23 страница)
                    https://dl3.checkpoint.com/paid/94/CP_R75.20_VPN_AdminGuide.pdf?HashKey=1606165694_9662947a2c8b8f7294ef8f936b058f37&xtn=.pdf

                    1 Reply Last reply Reply Quote 0
                    • U
                      ufd
                      last edited by

                      Вы оказались правы стояло One VPN tunnel per subnet pair-
                      One VPN tunnel per each pair of hosts- попробовали - тоже не работает. Видимо на Checkpoint стоит ограничение по количеству таких сессий.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by werter

                        @ufd
                        У CP ведь ПО обновить можно. Возможно, после этого появится возможность.

                        Зы. Кстати, нек-ые CP "перешиваются" на пф (Checkpoint 2200 - точно, т.к. в нем обычный x86).

                        1 Reply Last reply Reply Quote 0
                        • U
                          ufd
                          last edited by

                          Всем спасибо.
                          Заработало в режиме One VPN tunnel per Gateway pair

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.