IPsec маршрутизация между 3 сетей

operator2024

@konstanti буду пробовать сделать этот вариант

Вариант NAT
шлюз А - 2 фазы 2
A-B
A-C
шлюз B - 4 фазы 2
B-A
C-A (1)
B-C
A-C (NAT используем 192.168.99.0/24 ) (2)
шлюз C - 1 фаза 2
C-B

Нужно уточнение, пометил цифрами 1 и 2.
Там где 1, нужно добавлять вторую фазу к С с удаленной сетью А, верно?
Там где 2, нужно добавлять вторую фазу к А с удаленной сетью, С через NAT/BINAT?

Konstanti

@operator2024
Попробуйте , для начала, настроить по-правильному .
Без Nat. Nat нужен в этой схеме , когда нет доступа к настройкам удаленного шлюза . У Вас этот доступ есть . Смысла использования Nat я не вижу .

На ваши вопросы отвечу - да .

operator2024

@konstanti сделал без NAT, фазы поднялись (established), но трафик не идет

operator2024

@konstanti на шлюзах А и С получается нужно добавить доп. интерфейс, чтобы трафик увидел маршрут через что ходить или всё должно заработать без дополнительного интерфейса.
Я под интерфейсом имею ввиду на А нужно добавить ip из сети 111, а на С из сети 88

Konstanti

@operator2024

Я Вам чуть выше показал средство для проверки трафика из консоли
Tcpdump и enc0 интерфейс
Начните со шлюза А - уходит ли трафик в направлении С
Далее смотрите то же самое на шлюзе B
Потом на шлюзе С
и будет понятно , где проблема

кстати , мб проще сразу сделать туннель между А и С напрямую ?

operator2024

@konstanti спасибо, проблема оказалась в правилах блокировки на А и С.
Сейчас всё подцепилось как нужно.

@konstanti я тоже об этом подумал. Так будет проще.
Просто изначально я думал можно через NAT (как я описывал выше) сделать и поэтому не рассматривал прямой туннель между А и С

operator2024

This post is deleted!

Konstanti

@operator2024
ICMP и TCP - разные протоколы
Возможно , что Вы разрешили только прохождение tcp трафика на нужном порту , а остальное блокируете

operator2024

@konstanti понимаю это, так и было. За 4 дня уже голова слабо соображает. Правило было только для ТСP трафика, сейчас исправил и заработало.

Напрямую кстати туннель можно сделать, но управлять не очень удобно будет.
Если нужно что-то разрешить или запретить. Особенно когда на всех подобных устройствах конфиг одинаковый. Устройства А и С это конечные устройства, а B что-то вроде шлюза в офисе, куда весь трафик идет.

Konstanti

@operator2024
Да , решение в виде "топология звезда" - более правильное в плане администрирования всей системы в целом . НО !!!

Если упадет любой из туннелей
A-B
или
B-C - то связи A-C не будет

operator2024

@konstanti да, но в данном случае это неважно.
Почему я изначально не хотел делать доп.фазы для такой задачи. Сама задача одному юзеру нужен доступ в удаленную сетку, на определенный ip для получения одного файлика.
Он коннектится, забирает файл и всё.
Файл мелкий, если дропнится туннель, он через время подымится и юзер файл заберет заново.

werter

@operator2024

Сама задача одному юзеру нужен доступ в удаленную сетку, на определенный ip для получения одного файлика.

Простой портфорвардинг или впн на С решил бы это (при наличие белого ip).

Зы. Если захочется чего-то "особенного", то можно поднять ipsec + ospf - с А до С и с А до В (В и С и так связаны).
Тогда при падении одного из линков связь с А до С останется.

operator2024

@werter OSPF - это уже лишнее в данной ситуации. Вопрос этот я решил через дополнительную фазу 2