Доступ к устройствам за IKEv2 и L2TP/IPSec

Обсуждение ПО и его настройки
Ответить
dTi
Сообщения: 8
Зарегистрирован: 05 дек 2020, 13:16

Добрый день!
В сабже и есть вопрос: офисы 1 и 2 между собой соединены через L2PT/IPSec, к офису 1 через IKEv2 подключены удалённые сотрудники. Могут ли эти сотрудники подключаться к конечным устройствам в офисе 2 поверх туннелей?
В какую сторону копать, учитывая что у IKEv2 нет шлюза как такового?
Схема прикреплена, таблица маршрутизации офиса 1 тоже.

Код: Выделить всё

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          10.0.0.1                  1
 1 ADC  10.0.0.1/32        111.111.111.111   ether1                    0
 2 A S  10.2.2.0/24                        l2tp-in1                  1
 3 ADC  10.11.12.2/32      10.11.12.1      l2tp-in1                  0

Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Могут конечно.

На правом маршрут нужен до 10.1.1.0/24
На левом - политика для трафика из 10.1.1.0/24 и "куда угодно" (или хотя бы до 10.2.2.0/24).
Ну и если клиенты не весь трафик шлют в туннель, то и им надо через split-include маршрут до 10.2.2.0/24 пропихнуть.


Telegram: @thexvo
dTi
Сообщения: 8
Зарегистрирован: 05 дек 2020, 13:16

xvo писал(а): 23 сен 2021, 00:18 Могут конечно.

На правом маршрут нужен до 10.1.1.0/24
На левом - политика для трафика из 10.1.1.0/24 и "куда угодно" (или хотя бы до 10.2.2.0/24).
Ну и если клиенты не весь трафик шлют в туннель, то и им надо через split-include маршрут до 10.2.2.0/24 пропихнуть.
1. На правом маршрут до 10.1.1.0/24 уже есть:

Код: Выделить всё

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-out1                1
 1 ADC  10.2.2.0/24        10.2.2.1        bridge1                   0
2 A S  10.1.1.0/24        10.2.2.1        L2TP_STS-Ru0_Out          1
 3 ADC  10.11.12.1/32      10.11.12.2      L2TP_STS-Ru0_Out          0
 4 ADC  80.80.111.83/32    222.222.222.222   pppoe-out1                0
Правило для форварда трафика до подсети 10.1.1.0/24 тоже

Код: Выделить всё

chain=forward action=accept dst-address=10.1.1.0/24 log=no log-prefix=""
2. Что подразумевается под политиками? IPSec Policy? Там уже в DST стоит 0.0.0.0/0.
В split include тоже добавлена подсеть 10.2.2.0/24.

Код: Выделить всё

#      PEE TUN SRC-ADDRESS                                   DST-ADDRESS                                   PROTOCOL   ACTION  LEVEL  
 0 T  *         ::/0                                          ::/0                                          all       
 1   DA  l2t no  111.111.111.111/32                              222.222.222.222/32                              udp        encrypt unique 
 2 T            0.0.0.0/0                                     0.0.0.0/0                                     all       

Пинга по прежнему нет, даже с фаерволами отключенными на обеих сторонах


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А на том, что вы пингуете firewall тоже выключен?


Telegram: @thexvo
Ответить