Решено - IPsec site-to-site Policy based на USG-Pro-4 | Ubiquiti форум UBNT: инструкции, настройка

Решено IPsec site-to-site Policy based на USG-Pro-4

Статус
В этой теме нельзя размещать новые ответы.

rokstuk

участник
10 Апр 2020
2
1
5
32
Всем привет! Столкнулся с проблемой построения site-to-site Policy based соединения IPsec между USG-Pro-4 и Strongswan на CentOS 7. При таком конфиге все стабильно работает:

USG-Pro-4:
JSON:
 auto-firewall-nat-exclude enable
 esp-group ESP_XX.XX.XX.XX {
     compression disable
     lifetime 3600
     mode tunnel
     pfs enable
     proposal 1 {
         encryption aes128
         hash sha1
     }
 }
 ike-group IKE_XX.XX.XX.XX {
     key-exchange ikev1
     lifetime 28800
     proposal 1 {
         dh-group 14
         encryption aes128
         hash sha1
     }
 }
 ipsec-interfaces {
     interface eth2
 }
 nat-networks {
     allowed-network 0.0.0.0/0 {
     }
 }
 nat-traversal enable
 site-to-site {
     peer XX.XX.XX.XX {
         authentication {
             mode pre-shared-secret
             pre-shared-secret "************"
         }
         connection-type initiate
         ike-group IKE_XX.XX.XX.XX
         local-address YY.YY.YY.YY
         tunnel 1 {
             esp-group ESP_XX.XX.XX.XX
             local {
                 prefix 192.168.150.240/28
             }
             remote {
                 prefix 10.0.0.0/8
             }
         }
     }
 }
SrtongsWan CentOS:
JSON:
conn %default
        ikelifetime=28800
        keylife=3600
        keyexchange=ikev1
        authby=secret
        dpdaction=clear
        dpddelay=30s
        dpdtimeout = 150s
        auto=route
conn  USG-Pro-4
        left=XX.XX.XX.XX                 #strongswan outside address
        leftsubnet=10.40.0.0/22          #network behind strongswan
        leftfirewall=yes
        right=YY.YY.YY.YY
        rightsubnet=192.168.150.240/28
        auto=add
        ike=aes128-sha1-modp2048         #P1: modp2048 = DH group 14
        esp=aes128-sha1-modp2048         #P2
Но, как только я в конфиге на USG-Pro-4 урезаю маску удаленной подсети в параметре remote prefix со значения 10.0.0.0/8 до любой другой более короткой маски (в идеале ее необходимо урезать до 10.40.0.0/22), IPsec соединение не устанавливается. Даже, если кропнуть подсеть до величины 10.0.0.0/10.

Другие устройства без проблем цепляются с правильным значением маски, проблема явно не на стороне Strongswan.
Кто сталкивался? Как решать проблему?
 
Автор
R

rokstuk

участник
10 Апр 2020
2
1
5
32
Расход, парни. Я тупанул. Проблема решена.
auto=start принудительно на strongswan, и все летит.

Да в в целом нормально работают они со всем. Там под капотом тот же самый StrongsWan. Но за участие все равно спасибо)
 
Статус
В этой теме нельзя размещать новые ответы.