Добрый вечер.
Есть такая схема действующей сети -
Все объекты подключены звездой через белые IP-адреса на 192.168.0.0/24 туннелями IPSEC (без GRE). Все благополучно функционировало несколько лет, до сегодняшнего дня, когда, по не зависящим от нас причинам, IPSEC на некоторых объектах (в частности, на 192.168.23.0/24 на данной схеме) перестал работать. Удалось поднять туннель между 192.168.23.0/24 и 172.17.31.0/24, что дало возможность настроить перенаправление через 172.17.31.0/24 (по красной стрелке), и вроде бы все очевидно, но... то ли калорий не хватает, то ли сам себя запутал - сейчас уже сложно сказать
В общем, буду признателен за свежий взгляд и посильную помощь в решении проблемы, заранее спасибо!
Перенаправление трафика через два туннеля IPSEC
-
- Сообщения: 39
- Зарегистрирован: 22 мар 2019, 14:52
Что значит перестал работать, что пишется в логах?davis74 писал(а): ↑23 авг 2022, 21:15 Добрый вечер.
Есть такая схема действующей сети -
Все объекты подключены звездой через белые IP-адреса на 192.168.0.0/24 туннелями IPSEC (без GRE). Все благополучно функционировало несколько лет, до сегодняшнего дня, когда, по не зависящим от нас причинам, IPSEC на некоторых объектах (в частности, на 192.168.23.0/24 на данной схеме) перестал работать. Удалось поднять туннель между 192.168.23.0/24 и 172.17.31.0/24, что дало возможность настроить перенаправление через 172.17.31.0/24 (по красной стрелке), и вроде бы все очевидно, но... то ли калорий не хватает, то ли сам себя запутал - сейчас уже сложно сказать
В общем, буду признателен за свежий взгляд и посильную помощь в решении проблемы, заранее спасибо!
У меня периодически бывает такое, при перезагрузке роутера, исправляю так - вначале с обеих сторон тушу руками интерфейсы IPSec, затем в Connections отфильтровываю соединения на каждом объекте в противоположную сторону, относящиеся к IPSec, и срубаю их. После этого включаю интерфейсы и все поднимается.
Да, и самому интересно, из-за чего так происходит. В логах при этом пишется ошибка на на первой фазе соединения.
-
- Сообщения: 2
- Зарегистрирован: 23 авг 2022, 18:57
По интерфейсам взял на заметку, спасибо, изредка бывает такой фокус в другом сегменте сети.Vadik7 писал(а): ↑24 авг 2022, 11:01
Что значит перестал работать, что пишется в логах?
У меня периодически бывает такое, при перезагрузке роутера, исправляю так - вначале с обеих сторон тушу руками интерфейсы IPSec, затем в Connections отфильтровываю соединения на каждом объекте в противоположную сторону, относящиеся к IPSec, и срубаю их. После этого включаю интерфейсы и все поднимается.
Да, и самому интересно, из-за чего так происходит. В логах при этом пишется ошибка на на первой фазе соединения.
По сабжу - тоже залипает сразу на первой фазе - "initiate new phase 1 (Identity Protection):....", потом "phase1 negotiation failed due to time up ....", и так по кругу. Но в данном случае проблема не локального характера. Как я уже написал - по не зависящим от нас причинам )) Ночью легли сразу четыре туннеля. Ни по региону (от ХМАО до Поволжья), ни по диапазону адресов закономерностей не выявилось. Кроме одной - все четыре точки в маленьких городах с местными провайдерами. Так как картина в целом очень напоминала события с блокировками IPSEC 29 мая, предположили что имеет место блокировка в конкретный адрес от магистрального провайдера. По портам или ESP - уже не суть важно, так как все остальное работает штатно.
На данный момент проблему решил поднятием на проблемных точках SSTP-туннелей, все работает.
Посмотрел сегодня свежим взглядом на свои вчерашние попытки, ужаснулся. Спешка и легкая паника до добра не доводят ))
В общем, при внимательном рассмотрении, завернуть трафик без GRE не представляется возможным, так как отсутствуют интерфейсы для маршрутизации. При прямом подключении оно как бы и не нужно, ибо трафик сразу влетает в нужную сеть, а тут все сложнее. В общем, вопрос снимаю
Впрочем, если все-таки найдется какой-то хитрый способ - интересно бы было посмотреть. Может, тоже кому-то пригодится.
-
- Сообщения: 39
- Зарегистрирован: 22 мар 2019, 14:52
Вот-вот, именно такая ошибка и вылезает. И именно так, как написал выше, ее костылю - пока помогает.
Возможно, действительно работает какая-то система перехвата трафика, которая включается эпизодически. Пока остается только гадать.
Возможно, действительно работает какая-то система перехвата трафика, которая включается эпизодически. Пока остается только гадать.