IPsec VPN. Проблема с маршрутизацией. such policy already exists. anyway replace



  • Доброе.
    Может кто в курсе, как решить следующую проблему: Есть железка dsr-500 и pfsense. На обоих настроен IPsec VPN, там ведь достаточно все просто. IPsec поднимается и  даже трафик какой-то идет, но работает как то криво, на обоих железках отсутствует маршруты в сети за железками.

    В логах dsr-500, ошибок нету, а вpfsense ошибки:
    racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.10.0/24[0] proto=any dir=out
    racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.1/32[0] 192.168.1.0/24[0] proto=any dir=out
    racoon: ERROR: such policy already exists. anyway replace it: 192.168.10.0/24[0] 192.168.1.0/24[0] proto=any dir=in
    racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.1.1/32[0] proto=any dir=in

    Пробовал менять режимы работы с aggressive на main. Но результат один, нету соответствующих маршрутов в таблице маршрутизации.




  • 1. dsr-500 - обновите прошивку до последней
    2. Если у вас теже условия , то :

    Dynamic to static in agressive mode works with the enabled option on the static side "allow mobile clients".

    3. http://www.heitorlessa.com/site-to-site-vpn-pfsense-and-amazon-vpc/
    4.

    Are you trying to do NAT T. In other words are your trying to establish a tunnel from behind an already NATTED device. If so you will need to forward esp

    И да, вы там руками маршрут случаем не добавляли в Routing-е ? Удалите.



  • @werter:

    1. dsr-500 - обновите прошивку до последней

    Стоит последняя доступная: 1.09B58_WW

    @werter:

    2. Если у вас теже условия , то :

    Dynamic to static in agressive mode works with the enabled option on the static side "allow mobile clients".

    Не совсем понял, насчет те же условия и не понимаю пока откуда взялся этот Dynamic. На обоях железках статика, разве что на pfsense резервный канал на pppoe, но там тоже статика.

    @werter:

    3. http://www.heitorlessa.com/site-to-site-vpn-pfsense-and-amazon-vpc/

    Как уже указывал выше, что перевод в режим main, результата не дает, разве что ошибок при старте pfsebse в логе нету, но после перезапуска службы появляются.  В плане настойки pfsense, аналогично.

    racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.10.0/24[0] 192.168.1.0/24[0] proto=any dir=in
    racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.10.0/24[0] proto=any dir=out
    racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.1.1/32[0] proto=any dir=in
    racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.1.1/32[0] 192.168.1.0/24[0] proto=any dir=out

    4.

    Are you trying to do NAT T. In other words are your trying to establish a tunnel from behind an already NATTED device. If so you will need to forward esp

    Этот момент не понятен, включение и отключение NAT-T в настройках результата не дает, но в логах упоминается: used for NAT-T

    @werter:

    И да, вы там руками маршрут случаем не добавляли в Routing-е ? Удалите.

    Руками нечего не задавал.






  • Этот момент не понятен, включение и отключение NAT-T в настройках результата не дает, но в логах упоминается: used for NAT-T

    Неверно понимаете. Речь идет о том, что один из концов туннеля смотрит в Интернет не на прямую, а находясь за каким-то устройством.
    Роутер не стоИт перед одним из концов вашего туннеля? Провайдер вам случаем не выдает серый "адрес" при подключении ?

    Проверьте эти моменты.

    P.s. Покажите скрин NAT (Outbound).

    P.p.s. И да, прошивка для вашего д-линка не последняя. Смотрите здесь - http://tsd.dlink.com.tw/. И добавьте в закладки.


Log in to reply