Решено IPsec site-to-site Policy based на USG-Pro-4

[rokstuk]

Всем привет! Столкнулся с проблемой построения site-to-site Policy based соединения IPsec между USG-Pro-4 и Strongswan на CentOS 7. При таком конфиге все стабильно работает:

USG-Pro-4:

 auto-firewall-nat-exclude enable
 esp-group ESP_XX.XX.XX.XX {
     compression disable
     lifetime 3600
     mode tunnel
     pfs enable
     proposal 1 {
         encryption aes128
         hash sha1
     }
 }
 ike-group IKE_XX.XX.XX.XX {
     key-exchange ikev1
     lifetime 28800
     proposal 1 {
         dh-group 14
         encryption aes128
         hash sha1
     }
 }
 ipsec-interfaces {
     interface eth2
 }
 nat-networks {
     allowed-network 0.0.0.0/0 {
     }
 }
 nat-traversal enable
 site-to-site {
     peer XX.XX.XX.XX {
         authentication {
             mode pre-shared-secret
             pre-shared-secret "************"
         }
         connection-type initiate
         ike-group IKE_XX.XX.XX.XX
         local-address YY.YY.YY.YY
         tunnel 1 {
             esp-group ESP_XX.XX.XX.XX
             local {
                 prefix 192.168.150.240/28
             }
             remote {
                 prefix 10.0.0.0/8
             }
         }
     }
 }

SrtongsWan CentOS:

conn %default
        ikelifetime=28800
        keylife=3600
        keyexchange=ikev1
        authby=secret
        dpdaction=clear
        dpddelay=30s
        dpdtimeout = 150s
        auto=route
conn  USG-Pro-4
        left=XX.XX.XX.XX                 #strongswan outside address
        leftsubnet=10.40.0.0/22          #network behind strongswan
        leftfirewall=yes
        right=YY.YY.YY.YY
        rightsubnet=192.168.150.240/28
        auto=add
        ike=aes128-sha1-modp2048         #P1: modp2048 = DH group 14
        esp=aes128-sha1-modp2048         #P2

Но, как только я в конфиге на USG-Pro-4 урезаю маску удаленной подсети в параметре remote prefix со значения 10.0.0.0/8 до любой другой более короткой маски (в идеале ее необходимо урезать до 10.40.0.0/22), IPsec соединение не устанавливается. Даже, если кропнуть подсеть до величины 10.0.0.0/10.

Другие устройства без проблем цепляются с правильным значением маски, проблема явно не на стороне Strongswan.
Кто сталкивался? Как решать проблему?

 

[fAntom]

Тут смотрели?: https://community.ui.com/questions/Site-2-Site-VPN-between-USG-and-Linux-box-StrongSWAN-/338e2b4a-d736-4de0-a132-45472417b768

https://community.ui.com/questions/USG-Pro-IPSEC-site-to-site-with-strongswan-remote-working-now-want-to-do-PBR-for-one-device-on-loca/55be34d4-4476-47d4-ba89-84a801a7fae9

https://community.ui.com/questions/Connecting-USG-as-VPN-Client-to-Ubuntu-StrongSwan-VPN-Server-L2TP-over-IPSEC/f8343155-1bac-4b01-a83b-8efe287bb1c1

Но вообще site-to-site у unifi хорошо работает только между usg, с остальными иногда бывают проблемы.

 

[rokstuk]

Расход, парни. Я тупанул. Проблема решена.
auto=start принудительно на strongswan, и все летит.

Тут смотрели?: https://community.ui.com/questions/Site-2-Site-VPN-between-USG-and-Linux-box-StrongSWAN-/338e2b4a-d736-4de0-a132-45472417b768

https://community.ui.com/questions/USG-Pro-IPSEC-site-to-site-with-strongswan-remote-working-now-want-to-do-PBR-for-one-device-on-loca/55be34d4-4476-47d4-ba89-84a801a7fae9

https://community.ui.com/questions/Connecting-USG-as-VPN-Client-to-Ubuntu-StrongSwan-VPN-Server-L2TP-over-IPSEC/f8343155-1bac-4b01-a83b-8efe287bb1c1

Но вообще site-to-site у unifi хорошо работает только между usg, с остальными иногда бывают проблемы.

Да в в целом нормально работают они со всем. Там под капотом тот же самый StrongsWan. Но за участие все равно спасибо)