IPsec Проблема с подключением

k0tb3g3m0t

В двух офисах в качестве пограничного устройства установлен pfSense.
Офис 1
WAN 1.1.1.1
LAN 10.10.0.0/16
Офис 2
WAN 2.2.2.2
LAN 10.20.0.0/16

Пытаюсь поднять IPsec. Все по инструкции.

Конфиг Офис 1
<ipsec>
<vtimaps></vtimaps>
<client></client>
<logging>
<dmn>1</dmn>
<mgr>1</mgr>
<ike>2</ike>
<chd>2</chd>
<job>1</job>
<cfg>2</cfg>
<knl>1</knl>
<net>1</net>
<asn>1</asn>
<enc>1</enc>
<imc>1</imc>
<imv>1</imv>
<pts>1</pts>
<tls>1</tls>
<esp>1</esp>
<lib>1</lib>
</logging>
<async_crypto>disabled</async_crypto>
<uniqueids>replace</uniqueids>
<filtermode>enc</filtermode>
<bypassrules></bypassrules>
<phase1>
<ikeid>1</ikeid>
<iketype>ikev2</iketype>
<interface>wan</interface>
<remote-gateway>2.2.2.2</remote-gateway>
<protocol>inet</protocol>
<myid_type>myaddress</myid_type>
<myid_data></myid_data>
<peerid_type>peeraddress</peerid_type>
<peerid_data>2.2.2.2</peerid_data>
<encryption>
<item>
<encryption-algorithm>
<name>3des</name>
<keylen></keylen>
</encryption-algorithm>
<hash-algorithm>md5</hash-algorithm>
<prf-algorithm>sha256</prf-algorithm>
<dhgroup>2</dhgroup>
</item>
</encryption>
<lifetime>3600</lifetime>
<rekey_time></rekey_time>
<reauth_time></reauth_time>
<rand_time></rand_time>
<pre-shared-key>1111</pre-shared-key>
<private-key></private-key>
<certref></certref>
<pkcs11certref></pkcs11certref>
<pkcs11pin></pkcs11pin>
<caref></caref>
<authentication_method>pre_shared_key</authentication_method>
<descr><![CDATA[TUNNEL]]></descr>
<nat_traversal>force</nat_traversal>
<mobike>off</mobike>
<startaction></startaction>
<closeaction></closeaction>
<dpd_delay>10</dpd_delay>
<dpd_maxfail>5</dpd_maxfail>
</phase1>
<phase2>
<ikeid>1</ikeid>
<uniqid>xxx</uniqid>
<mode>tunnel</mode>
<reqid>1</reqid>
<localid>
<type>lan</type>
</localid>
<remoteid>
<type>network</type>
<address>10.20.0.0</address>
<netbits>16</netbits>
</remoteid>
<protocol>esp</protocol>
<encryption-algorithm-option>
<name>3des</name>
</encryption-algorithm-option>
<hash-algorithm-option>hmac_md5</hash-algorithm-option>
<pfsgroup>2</pfsgroup>
<lifetime>3600</lifetime>
<rekey_time></rekey_time>
<rand_time></rand_time>
<pinghost></pinghost>
<descr></descr>
</phase2>
<noshuntlaninterfaces></noshuntlaninterfaces>
<enableinterfacesuse></enableinterfacesuse>
<acceptunencryptedmainmode></acceptunencryptedmainmode>
</ipsec>

Конфиг Офис 2

<ipsec>
<vtimaps></vtimaps>
<client></client>
<phase1>
<ikeid>2</ikeid>
<iketype>ikev2</iketype>
<interface>wan</interface>
<remote-gateway>1.1.1.1</remote-gateway>
<protocol>inet</protocol>
<myid_type>myaddress</myid_type>
<myid_data></myid_data>
<peerid_type>peeraddress</peerid_type>
<peerid_data>1.1.1.1</peerid_data>
<encryption>
<item>
<encryption-algorithm>
<name>3des</name>
<keylen></keylen>
</encryption-algorithm>
<hash-algorithm>md5</hash-algorithm>
<prf-algorithm>sha256</prf-algorithm>
<dhgroup>2</dhgroup>
</item>
</encryption>
<lifetime>3600</lifetime>
<rekey_time></rekey_time>
<reauth_time></reauth_time>
<rand_time></rand_time>
<pre-shared-key>1111</pre-shared-key>
<private-key></private-key>
<certref></certref>
<pkcs11certref></pkcs11certref>
<pkcs11pin></pkcs11pin>
<caref></caref>
<authentication_method>pre_shared_key</authentication_method>
<descr><![CDATA[TUNNEL]]></descr>
<nat_traversal>force</nat_traversal>
<mobike>off</mobike>
<startaction>none</startaction>
<closeaction></closeaction>
<dpd_delay>10</dpd_delay>
<dpd_maxfail>5</dpd_maxfail>
</phase1>
<phase2>
<ikeid>2</ikeid>
<uniqid>xxx</uniqid>
<mode>tunnel</mode>
<reqid>2</reqid>
<localid>
<type>lan</type>
</localid>
<remoteid>
<type>network</type>
<address>10.10.00.0</address>
<netbits>16</netbits>
</remoteid>
<protocol>esp</protocol>
<encryption-algorithm-option>
<name>3des</name>
</encryption-algorithm-option>
<hash-algorithm-option>hmac_md5</hash-algorithm-option>
<pfsgroup>2</pfsgroup>
<lifetime>3600</lifetime>
<rekey_time></rekey_time>
<rand_time></rand_time>
<pinghost></pinghost>
<descr></descr>
</phase2>
<logging>
<dmn>1</dmn>
<mgr>1</mgr>
<ike>2</ike>
<chd>2</chd>
<job>1</job>
<cfg>2</cfg>
<knl>1</knl>
<net>1</net>
<asn>1</asn>
<enc>1</enc>
<imc>1</imc>
<imv>1</imv>
<pts>1</pts>
<tls>1</tls>
<esp>1</esp>
<lib>1</lib>
</logging>
<noshuntlaninterfaces></noshuntlaninterfaces>
<async_crypto>disabled</async_crypto>
<uniqueids>replace</uniqueids>
<filtermode>enc</filtermode>
<bypassrules></bypassrules>
<enableinterfacesuse></enableinterfacesuse>
<acceptunencryptedmainmode></acceptunencryptedmainmode>
</ipsec>

В правилах файрволла для IPsec разрешен любой трафик IPv4
Добавлены разрешающие правила для LAN (указаны удаленные сети)

Соединение устанавливается, но почему то статус IPsec информирует что не отправляются пакеты со стороны Офиса 1:
Bytes-In: 31,784 (31 KiB)
Packets-In: 1,096
Bytes-Out: 0 (0 B)
Packets-Out: 0

Также, пинг с pfSense Офиса 2 доходит с положительным ответом до pfSense Офиса 1, а в обратную сторону нет.
MTR с указанием IP адреса pfSense Офиса 2 говорит, что трафик уходит в интернет.

В чем может быть проблема?

werter

Добрый.
@k0tb3g3m0t
Рекомендую ipsec vti.
И внимательно с конфигом https://docs.netgate.com/pfsense/en/latest/vpn/performance.html

Ps. Проверьте ЛС.

k0tb3g3m0t

@werter
Спасибо,
Проблема решилась VTI + Routing