Немогу настроить Routed IPsec (VTI)
-
Пытаюсь действовать по этой инструкции https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-routed.html
Канал подымается, ошибок нет. Но адреса по разным сторонам получившегося канала не пингуются, следовательно, настроить связь на системном роутинге не получается.В то же время в режиме tunnel все работает нормально, но ограничения этого режима не позволяют им пользоваться постоянно.
Что я делаю не так? По инструкции сложно где то накосячить, как мне кажется.
-
@unibomber
1 разрешающие правила на интерфейсах созданы ?
Проверьте правила на закладке IPSEC и VTI интерфейсов
2 статические маршруты для удаленных сетей с обеих сторон созданы ?
3 конечные точки туннеля пингуются ? -
- Не пингуются именно конечный точки.
- До статических маршрутов еще не дошло.
- Разрешающие правила? Виртуальные интерфейсы в систему добавлены, но они так и не появились в настройках фаервола. Есть только общий интерфейс IPSec, на котором разрешено все с обеих сторон.
-
@unibomber
1 версия pf ?
2 после присвоения - заходили в интерфейсы и разрешили их ?
я на коленке сейчас vti поднял все пингуется -
2.4.4-RELEASE c обеих сторон
Да, я разрешал интерфейсы. Дошел ровно до места, когда надо прописывать статические маршруты. Тут то и обнаружилось отсутствие пинга.
Т.е. локально интерфейсы с прописанными IP появляются и локально пингуются. А вот IP другой стороны не пингуется. -
@unibomber так все верно, pf не знает куда ответ сдать. Надо проверить, что есть гейтвеи и создать маршруты для удалённых сетей. VTI не умеет reply-to. Поэтому ответить пытается по таблице маршрутизации
-
Покажите табл. марш-ции на пф до и после поднятия ипсек.
-
Заработало!
Вчера я пытался переделывать существующий Phase2 c режима tunnel на Routed, и почему то так не работало. Сегодня создал еще один Phase2 в режиме Routed, отключил Phase2 tunnel, переконнектил вручную IPsec и пинг пошел. Далее дело техники.
Спасибо всем, кто пытался помочь!